Keeperボルトの保護

概要

Keeperの基盤は、顧客データを保護するためのポリシーとコントロールを備えた暗号化プラットフォームであることです。このセキュリティモデルでは、ユーザーも推奨されるセキュリティ慣行に従って、ボルトへのアクセスを保護する責任を負うことになります。ユーザーのボルト内に保存されたデータを保護するために推奨されることを以下にまとめました。

強力なマスターパスワードを作成する

マスターパスワードを使用してKeeperにログインするユーザーの場合、データキーを復号化および暗号化するためのキーは、パスワードベースのキー導出関数 (PBKDF2) を使用してマスターパスワードから導き出され、デフォルトでは1,000,000回の反復が行われます。ボルトにログインするユーザーは全員自動的に1,000,000回の反復へ移行します。

ユーザーがマスターパスワードを入力すると、キーがローカルで取得され、ユーザーの256ビットAESデータキーがアンラップされます。データキーは復号化された後、個々の256ビットAESレコードキーとフォルダキーのラップを解除するために使用されます。その後、レコードキーによって保存されている各レコードコンテンツがローカルで復号化されます。

Keeperには、Amazon AWS環境での不正アクセス、デバイス認証、スロットリング、その他の保護に対して軽減策が実装されています。強力なマスター パスワードの複雑性を適用すると、暗号化されたボルトに対するオフラインでのブルートフォース攻撃 (総当たり攻撃) のリスクが大幅に軽減されます。

米国国立標準技術研究所 (NIST) では、でパスワードのガイドラインを規定しており、使いやすさとセキュリティの間のバランスを奨励しています。つまり、パスワードは覚えやすいものであるべきですが、同時に推測されにくいものでなければなりません。NISTの指示では最低8文字を推奨していますが、文字数を増やすと最終的にパスワードの推測や解読が困難となりますので、Keeperでは最低 12文字のマスター パスワードを使用します。

Keeperアカウントで2FAを有効にする

2FAは、どの個人向けアカウントにもビジネス向けアカウントにも追加できますが、ビジネスユーザーは、さまざまな段階での制御およびセキュリティオプションを備えた2FAの使用を必須にすることが可能です。2FAは、マスターパスワードの入力の前に行われます。マスターパスワード入力前にデバイス認証と2FAを実行することで、ブルートフォース攻撃、パスワードテスト、アカウント列挙などの攻撃を軽減できます。

二要素認証を有効にするには、Keeperウェブボルト、Keeperデスクトップ、モバイルアプリの設定画面へアクセスします。

Keeperでは、2つ目の要素としてYubiKeyやGoogle Titanキーなど、FIDO2互換のWebAuthnハードウェアのセキュリティキーにも対応していますので、安全かつ便利に2FAを行う手段としてご検討いただけます。

お使いのメールアカウントで2FA (二要素認証) を有効にする

メールアカウントへのアクセスは、個人情報を保護する上で重要な要素となります。メールアカウントには、Keeperで作成した強力な自動生成パスワードを使用するようにし、さらに多要素認証も利用するようにしましょう。メールプロバイダからの手順に従って、可能な限り制限のある方法でアカウントを保護します。

可能でしたら、ハードウェアのYubikeyやGoogle Titanキーを使用してメールアカウントを保護することを推奨します。メールプロバイダから利用できない場合、あるいはYubikeyを所有していない場合、次善の策としてはTOTPコードジェネレーターの使用が挙げられます。

ブラウザの拡張機能に注意する

一般的なセキュリティ慣行として、広告ブロッカー、クーポンツール、便利なツールなど、サードパーティのブラウザ拡張機能のインストールには細心の注意を払うようにします。ブラウザ拡張機能の多くは、アクセスするウェブサイトまたはブラウザベースのアプリケーション内のあらゆる情報にアクセスできるよう、高度なアクセス許可を必要とします。ブラウザ拡張機能が信頼できる開発元によるものであることを確かにし、インストール前に開発元のセキュリティ認定を確認するようにしましょう。

その他のセキュリティ関連の質問がございましたら、お気軽に弊社 (security@keepersecurity.com) までメールでお問い合わせください。