2007年5月30日

Why Clipperz Is Safe?

先日日本語版インターフェイスを作成した Clipperz ですが、翻訳した画面には書かれていないいくつかの追加情報を書きます。主に Clipperz の安全性に関する事柄です。ログイン ID やパスワードという重要な情報を扱うサービスですから、利用するにあたって安全性については特に気をつける必要があります。

1. ローカルでの暗号化

Clipperz では javascript を利用してブラウザで暗号化処理を完結させています。つまり、 Clipperz のサーバーには復号する手段がないということです。これは実は重要なことで、たとえば Google や Microsoft などのサービスではパスワードを暗号化して保存しているとはいえ、サーバーで復号することができます。だからパスワードを忘れたらメールで教えてくれるのです。

ということは、サーバーに侵入されたらパスワードは全て盗まれてしまうかもしれないということです。

もちろん、各社ともパスワードは重要な情報ですから盗まれたりしないよう厳重に管理していろいろと対策を立てていますし、復号する手段があるといっても社員が個々のユーザーのパスワードを知ることはできないようになっています。

Google や Microsoft といった大手 web サービスやオンラインバンキングなどのパスワード管理も十分安全で信用できるものですが、 Clipperz のそれはさらに上を行っているのです。

2. 自分だけのパスフレーズ

Google や Microsoft などのパスワード管理は十分安全とはいえ、万が一にもサーバーに侵入されて情報を盗まれてしまうと、全ての情報が復号されてしまう危険があります。 Clipperz では、暗号化された情報を復号するためのキーはそれぞれのユーザーが設定したパスフレーズ以外にはありませんから、たとえ暗号化情報を盗まれたとしても、個別の情報にアクセスするための労力は他の一般的な暗号化情報とは比べ物にならないほど大きいのです。

つまり、 Clipperz から情報を盗むよりは他から情報を盗む方が少ない労力ですむということであり、それは Clipperz から情報を盗もうとする悪人が現れにくいということでもあります。

3. 完全匿名利用

Clipperz では、自分の情報を特定するためにユーザー登録が必要ですが、それは任意に設定できるユーザー ID とパスフレーズだけで登録できるものです。メールアドレスすら必要ありません。つまり、 kelwiekk93krh というユーザーがどこの誰なのか、登録した本人以外には知る術もないということです。

これはすなわち、狙われにくいということです。もしあなたが大金持ちなら泥棒もその財産を狙いますが、もしかすると大した情報もないかもしれない匿名のユーザーのアカウントは泥棒も狙う魅力がないというものです。

4. ソースコード公開

Clipperz はソースコードが公開されています。つまり、 Clipperz に悪意のあるコードが仕込まれていないかどうか、あなた自身が確認できるということです。

もちろんプログラミングの知識がなければ何もわかりません。しかし悲観することはありません。 Google Code という腕に自信のあるプログラマの目に留まりやすい場所で公開されている Clipperz のコードは、多くのプログラマが検証してくれますから、悪意あるコードを仕込んだりすればすぐにばれて騒ぎになってしまいます。

ソースコードを公開するということは、悪いことはしないという意思表示でもあるのです。

5. まとめ

いままで Clipperz の安全性について書いてきましたが、完璧なサービスというのはありません。 Clipparz も例外ではなく、絶対に安全かと問われれば、絶対ではありません。

しかしそれは限りなくゼロに近い危険性なので、これでもまだ心配な人は、オンラインサービスは使うべきではありません。だって心配ですから。

7 件のコメント:

kenn さんのコメント...

ブラウザで使えるのは便利でいいですね。
ぼくも利用したいと思います。
ただ、パスフレーズになじみがうすいので、
具体的なイメージがつかみにくいというか。
パスフレーズのヘルプなども日本語化されると、
とっつきやすくなるような気がするんですが。

Hit さんのコメント...

ヘルプの日本語化もそのうちとは思ってますが、とりあえずはサービスの周知が先ですね。

ちゃめ さんのコメント...

 重要な説明を判りやすく解説してくださり、有難うございまーす。
 使い始めてしまえば、この「暗号化ステップ」を視覚的に体験できるのですが、使う前の人は判らないところなんですよね。

 パスフレーズにスペースを適時混ぜ込んだローマ字を使えば、日本語感覚で使えますね。
 変換のつもりでスペースを入力すれば良い訳なので。 :)

Hit さんのコメント...

パスフレーズが短いと暗号を破られる危険性が増加しますから、なるべく長いのがいいですね。

kenn さんのコメント...

こういうエントリーがありました。
http://feeds.feedburner.com/~r/readwriteweb/~3/124450928/do_we_need_password_management_services.php
Clipperz にふれています。

kenn さんのコメント...

ネタフルでは、実際のやり方が、
くわしくでてますね。
http://netafull.net/tech/020608.html
ご存知かもしれませんが、
Hitさんのお名前もでてました。

Hit さんのコメント...

kenn さん、どちらも読みました。 Clipperz では zero-knowledge という考えに基づいてユーザーの個人情報を所有しないという方針の他、 Clipperz を闇雲に信用するのでなくユーザーが自分自身で利用に足るサービスかどうかちゃんと検証した上で使ってほしいという考えも持っています。だからこそソースコードを公開しているわけです。