この前から何度もネタにしてきたので完結させておく。

• OperaのWandを解析するソフト (ソースあり) - by edvakf in hatena

• 野良OperaとWand解析ソフトについて - by edvakf in hatena

さらっとまとめておくと、最初の記事ではOperaのWand (認証管理) は解読するソフトが出回っているということ、2つめの記事は、もし純正以外のOperaや外部ソフトを使う場合は自己責任ですること、という警告というか啓蒙だった。

この件についてフォーラムで聞いてみたところ、Operaフォーラムの「いつものメンバー」(=Operaのカスタマイズなどに異常に詳しい人達) から回答があった。

• Is wand unsafe? - Security and privacy in Opera - Opera Community

要点をまとめると、

1. OperaのWand機能は、パスワードを毎回入力しなくてもよいという利便性のための機能であり、wand.datはパスワードの保護を目的としてはいない。
2. マスターパスワードを設定することによってwand.datの暗号レベルを上げることができる。
3. OperaはWandがそれ自体では安全ではないかもしれないということを十分に周知させていない。

まず1点目は、言われてみればその通りである。そこに全てを求めなくてもよいと思う。Operaがいかに頑張ったところで、解読ソフトの作者が言うように単一の暗号化アルゴリズムでは破るのはそう難しいことではない (らしい)。ならば別のパスワードをかけて暗号を二重にするのは妥当な案だ。

2点目は自分でも試して確認した。マスターパスワードを設定すると、この前のソフトを使っても「パスワードの部分は」より強力な暗号で守られていて解読できなくなっている。しかしログインページのURLとユーザー名は解読できる。まあそこは十分注意しておけばいいと思う。ユーザー名＝メールアドレスなサイトとかもあるけど。それよりも、オンラインバンキングでログインID＝カード番号なサイトには絶対にパスワードを記憶させてはいけない。

3点目であるが、自分自身を含めて、質問サイトや掲示板などでも、Operaを使っている人でマスターパスワードを使っている人はそんなにお目にかかったことがない。それを勧めるのはOperaの責任ではないかと思うのだが。Operaのセキュリティレベルは決して低くはないと思っているが、この点だけは納得がいかない。

しつこいがもう一度書く。wand.datは簡単に読めるようにできるのだ。

そうでなくても、ノートパソコンを盗まれて、Operaを起動されて、履歴からmixiやらブログやら挙句にオンラインバンキングにログインされるということも考えられる。

ここではっきり書いておくと、マスターパスワードは使ったほうがいい。一々パスワードを入力するのは面倒だと思うかもしれないが (事実自分がそうだった)、Operaの起動ごとに1度入力するだけということもできる。

やり方は、

• 設定→詳細設定→セキュリティを開いて、一番上のSet Master Paswordというところをクリック。

• そこでマスターパスワードを2回入力。

• その下のAsk for passwordというところを好きなように変更する。

• そして最後にUse master password to protect saved passwordにチェックを入れる。ここでもう一度先ほど設定したマスターパスワードを入力することになる。

• OKをクリックすれば完了。

ちなみにマスターパスワードを設定している場合、Operaの設定を移行するときにはwand.datの他に、opcacrt6.dat, opcert6.dat, opssl6.datもコピーする必要がある (らしい)。

• Opera Browser Wiki :: How to Migrate Opera Settings