パスワード管理の新手法「HIPPO」が注目されている。従来のように保管せず、毎回計算で生成する仕組みで、漏えいリスクを大幅に減らす可能性がある一方、新たな弱点も指摘されている。
HIPPOはブラウザ拡張とサーバーを組み合わせ、パスワードを保存せず都度生成する。ユーザーのマスターパスフレーズとサーバー側の秘密鍵を用い、OPRFという暗号技術でサイトごとに異なるパスワードを導出する仕組みだ。サーバーは生のパスワードを受け取らず、クライアント側で最終的なパスワードが生成される。
この方式によりパスワード保管庫が不要となり、使い回しや漏えい時の被害拡大を防げる点が利点である。また各サイトごとに高強度なパスワードが自動生成されるため、総当たり攻撃への耐性も高い。
一方でサーバー側の秘密鍵に依存する構造から、サービス自体が単一障害点となる課題もある。さらに二要素認証を直接管理しないため、追加の防御策との併用が前提となる設計である。
