BreachWatchコマンド

BreachWatchコマンドと応答の概要

概要

BreachWatchは、インターネットやダークウェブ上の漏洩情報とボルト内のレコードを照合し、侵害の疑いがあるアカウントを検知するアドオンです。10億件を超える漏洩データベースを参照しながら、Keeperのゼロ知識方式による安全性を保ちます。詳しくは、Keeperのドキュメントをご参照ください。

ユーザー体験

BreachWatchの利用を開始するには、KeeperのウェブボルトまたはモバイルアプリでBreachWatchの画面を開き、案内に従ってください。Keeper Securityのサイトから購入することもできます。登録直後には、登録時点でボルトに保存されていたパスワードが端末上でスキャンされます。

SDKでは、以下の4つのコマンドを扱います。

BreachWatchの一覧

breachwatch list は、BreachWatchが検知した内容に基づき、ボルト内のレコードごとのパスワード侵害の有無と状態を一覧表示します。再利用・脆弱・侵害済みなど、リスクの把握に利用できます。

DotNet CLI

コマンド: breachwatch list

フラグ:

--numbered - BreachWatchレコードの通し番号付き表示
--owned - 自分が所有者のレコードのみ表示
--all - 参照可能なすべてのレコードの表示 (共有レコードを含む)

例:

My Vault> breachwatch list --numbered --owned
S.No  Record UID              Title                      Description        
----  ----------------------  -------------------------  -------------------
2     record_uid              DemoRecordForWeakPassword  [email protected]      
1     record_uid              breachwatchIgnoreTest3     [email protected]
3     record_uid              DemoBreachWatchRecord

DotNet SDK

メソッド: BreachWatchRecords()

ボルトの初期化と同期が済んでいれば、以下のように呼び出せます。

例:

var records = vault.BreachWatchRecords()
.Where(x => x.Status == BWStatus.Weak || x.Status == BWStatus.Breached)
.Where(x => !BreachWatchIgnore.IsRecordIgnored(vault, x.RecordUid)) 
.Select(x => x)

PowerCommander

コマンド: Get-KeeperBreachWatchList

フラグ:

OwnedOnly - 自分が所有者のレコードのみ
All - 参照可能なすべてのレコード
Numbered - 結果に通し番号を表示

例:

PS> Get-KeeperBreachWatchList -OwnedOnly -Numbered

S.No Record UID             Title                     Description
---- ----------             -----                     -----------
   1 record_uid             breachwatchIgnoreTest3    [email protected]

コマンド: Get-KeeperIgnoredBreachWatchRecords

例:

PS> Get-KeeperIgnoredBreachWatchRecords

Record UID             Title Description                        Status
----------             ----- -----------                        ------
2lAzF6Ok4xAfA-DYd6LQVQ Test1 [email protected] (at) https://agoda.com Ignored

Total ignored records: 1

Python CLI

コマンド: breachwatch list

オプション:

-n, --numbered - レコードの番号付き一覧表示
-a, --all - 件数制限を解除してすべて表示 (省略時は先頭30件のみ)
-o, --owned - 自分が所有者のレコードのみ表示

例:

My Vault> breachwatch list

Detected High-Risk Password(s)

Record UID              Title                       Description
----------------------  --------------------------  ----------------
record_uid              hello new shortcut changed  [email protected]

Python SDK

機能: breach_watch_records

record_uids = {x.record_uid for x in context.vault.vault_data.breach_watch_records() if x.status in (client_pb2.BWStatus.WEAK, client_pb2.BWStatus.BREACHED)}
records = [x for x in context.vault.vault_data.records() if x.record_uid in record_uids and (x.flags & vault_record.RecordFlags.IsOwner if owned_only else True)]

BreachWatchのスキャン

breachwatch scan は、ボルト内で新規に作成した、または更新したパスワードをBreachWatchに送り、再利用・脆弱・侵害済みのいずれかを判定します。

パスワード付きレコードを作成または変更した直後に実行します。Keeperの公式アプリ以外 (例: Commander CLI や API 経由のスクリプト) から登録した場合などに特に有効です。

DotNet CLI

コマンド: breachwatch scan

例:

My Vault> breachwatch scan           
No records found to scan or all eligible records have already been scanned.

DotNet SDK

メソッド: ScanAndStoreRecordStatusAsync

引数には、スキャン対象レコードの record UID を要素とする文字列のリストを渡します。

例:

await vault.ScanAndStoreRecordStatusAsync(recordUids);

PowerCommander

コマンド: 非対応

Python CLI

コマンド: breachwatch scan

パラメータ:

-r, --records - スキャン対象のレコード UID

例:

My Vault> breachwatch scan -r <record_uid>
Breachwatch: 1 password(s) to scan
Scan completed for record <record_uid>. Status: WEAK

Python SDK

機能: scan_and_store_record_status

# スキャン対象レコードの record_key と password を取得する
bw_password = vault.breach_watch_plugin().scan_and_store_record_status(
                record_uid=record_uid,
                record_key=record_key,
                password=password
            )

BreachWatchのパスワード照合

breachwatch password は、入力した文字列が公開されているデータ侵害に含まれるかを、BreachWatchのデータベースと照合して確認します。ゼロ知識方式で解析し、安全度 (例: GOOD / WEAK / BREACHED) を返します。

DotNet CLI

コマンド: breachwatch password

例:

My Vault> breachwatch password 
Password to Check: *************
Scanning 1 password(s)...
   *************: GOOD

DotNet SDK

メソッド: ScanPasswordsAsync

例:

public static async Task<List<(string Password, HashStatus Status)>> ScanPasswordsAsync(
            IEnumerable<(string Password, byte[] Euid)> passwordEntries,
            CancellationToken cancellationToken = default)

PowerCommander

公開されている漏洩データにパスワードが含まれるかを、BreachWatchのデータベースと照合します (複数指定可)。

コマンド: Test-PasswordAgainstBreachWatch

別名: kbwp

構文:

Test-PasswordAgainstBreachWatch [-Passwords <SecureString[]>] [-ShowPassword] [-VaultContextVar <string>] [<CommonParameters>]

パラメータ:

-Passwords

照合するパスワード (SecureString、複数可)、パイプライン入力可、省略時はプロンプト入力

-ShowPassword

マスクなしで結果にパスワードを表示

-VaultContextVar

ボルトコンテキストを保持する変数名 (既定以外のコンテキスト用)

コマンド例:

# パスワードを入力して照合する
PS> Test-PasswordAgainstBreachWatch

# 特定のパスワードを照合する
PS> $pwd = ConvertTo-SecureString "password123" -AsPlainText -Force
PS> Test-PasswordAgainstBreachWatch -Passwords $pwd

# 複数のパスワードを照合し、結果に表示する
PS> $pwd1 = ConvertTo-SecureString "pass1" -AsPlainText -Force
PS> $pwd2 = ConvertTo-SecureString "pass2" -AsPlainText -Force
PS> Test-PasswordAgainstBreachWatch -Passwords $pwd1,$pwd2 -ShowPassword

# パイプライン入力
PS> Get-KeeperRecord | ForEach-Object { $_.GetPassword() } | ConvertTo-SecureString -AsPlainText -Force | Test-PasswordAgainstBreachWatch

出力例:

PS> Test-PasswordAgainstBreachWatch
Password to Check: ************
Scanning 1 password(s)...
Processing 1 result(s)...
    ************: WEAK | Strength: System.Object[] (Score: 0)

Python CLI

コマンド: breachwatch password

パラメータ:

passwords - 照合するパスワード (コマンド引数として指定)

例:

My Vault> breachwatch password testpassword
    testpassword: BREACHED

Python SDK

機能: scan_passwords

breach_watch = vault.breach_watch_plugin().breach_watch.scan_passwords(passwords)
# スキャンするパスワード文字列のリストを渡す

BreachWatchのレコード無視

breachwatch ignore は、BreachWatchが再利用・脆弱・侵害済みと判定したレコードについて、アラートや警告を表示しないようにします。

対応を後回しにする合理的な理由がある場合に使います。たとえば、以下のような場合です。

レガシーシステム向けの資格情報
重要度が低い、または別経路で保護済み
修復作業の途中

DotNet CLI

コマンド: breachwatch ignore

例:

My Vault> breachwatch ignore record_uid            
Record (UID: record_uid) has been ignored.

DotNet SDK

メソッド: IgnoreRecord

例:

await BreachWatchIgnore.IgnoreRecord(vault, recordUid);

PowerCommander

コマンド: Set-KeeperBreachWatchRecordIgnore

PS> Set-KeeperBreachWatchRecordIgnore -RecordUids record_uid                            
System.Threading.Tasks.VoidTaskResult
Record 'breachwatchIgnoreTest3' (UID: record_uid) has been ignored.

Python CLI

コマンド: breachwatch ignore

パラメータ:

records - 対象外にするレコードの UID

例:

My Vault> breachwatch ignore record_uid
record_uid: success 
Syncing...

Python SDK

機能: 非対応

前へシークレットマネージャー共有コマンド次へレポート作成コマンド

最終更新 1 か月前