パスワードは覚えられない
今や,理想的なパスワードをすべて自分で覚えておくのは不可能です。安全なパスワードの設定方法として,
- 使い回しをしない
- 複雑で,長く,推測されにくいものにする
などのことが言われますが,みなさんは守れているでしょうか?
SNS,ショッピングサイト,ネット銀行,Google,Apple,携帯キャリア,そのほか各種サービス…
どんなに少なくとも10や20のパスワードは持っているでしょう。一般的なユーザは,70から80ものパスワードを管理しているという報告もあります[1]。「頭ではわかっていても,パスワードを使い回している」という人も多いでしょう。
しかしながら,複数のサービスに同じIDとパスワードを利用するのは非常に危険です。ひとつのサービスからパスワードが流出した際に,そのサービスだけではなく,同じパスワードを利用している他のサービスについても不正ログインなどの被害にあう可能性があるからです。
パスワード管理ツール
そこで,便利なのがパスワード管理ツール。このツールでは,Webサイトやサービスごとに,IDとパスワードを一元管理できます。
Amazon,楽天など,それぞれのサービスのIDとパスワードを管理ツールに保存します。保存されたIDやパスワードは管理ツールの「マスターパスワード」と呼ばれる大もとの鍵を利用して呼び出します。
マスターパスワードを覚えておけば,何十というサービスのパスワードを覚えておく必要がなくなります。
マスターパスワードを流出させないようにする
ただし,注意点もあります。マスターパスワードは絶対に漏らしてはいけません。
そのため,信頼できる管理ツールを選ぶことが大切であることはもちろんですが,フィッシングやソーシャルエンジニアリングなどにより利用者自身によりマスターパスワードなどを漏らしてしまう可能性も考えなければいけません。
さらに,パスワードを盗み出す手法は日々進化しています。今後何があるかは全くの未知数です。
現在はAmazonや楽天を装いパスワードを盗もうとするフィッシングメールが頻繁に届きます。今後,パスワード管理ツールのがさらに一般的になると,それを前提とした手口が登場するかもしれません。
したがって,ツールを導入するだけではなく,情報セキュリティに関する基本を忘れないことが大切です。
筆者はトレンドマイクロのパスワードマネージャーを利用中
あきぞうは,トレンドマイクロのパスワードマネージャーという管理ツールを利用しています。導入する際に意識したことは以下の3点です。
- Windows, Mac, Android, iOS対応のもの
- マルチデバイス対応で,パスワードはクラウド保存のもの
- ある程度信頼できるものであること
これらを満たしており,無料版を利用して使い勝手も及第点であったため,導入を決めました。
パスワード管理ソフトの比較については,ものぐさSEさんの以下の記事などが参考になります。
パスワードマネージャーをおトクに導入する方法
絶対にトレンドマイクロの公式サイトから直接購入をしないでください。必ず,Amazonや楽天市場で購入しましょう。ポイント還元や値引きなどが受けられます。
| サイト名 | 価格 | ポイント還元率 |
| トレンドマイクロ公式 | 6,380 | – |
| Amazon | 5,800 | – |
| 楽天市場 | 6,380 | 10% |
なお,トレンドマイクロの製品は,クレジットカード等のポイントモールにおいて高ポイント還元となっている場合も多いです(ただし,購入方法などによっては対象外となる場合もあるため注意しましょう)。どこで購入するのが一番おトクか調べてから購入されることをお勧めします。
ちなみに,あきぞうは楽天市場で購入をして29%(SPU 7%,0と5のつく日 ポイント5倍の2%, 楽天市場トレンドマイクロ通常+キャンペーン 9+10%)の楽天ポイントポイント還元を受けています。加えて,300円割引クーポンの利用,ANAマイレージモールを経由して購入することで0.5%のマイル還元も受けています。
不安な点:セキュリティーの詳細がわからない
1PasswordやLastPassといったパスワード管理ツールはセキュリティの詳細を示したホワイトペーパーを公開しています。一方,パスワードマネージャーはそういったものは公開していません。
使われている手続きがオープン化されていないというのは,どのようにデータが扱われているかわからないという点で一抹の不安を覚えます。
ただし,調べた限りでは,大きな情報漏洩が発生したというニュースは見つかりません(過去の脆弱性については記事は見つかりますが…)。そのため,実態はわかりませんが,それなりに信頼できるものであると推測しています。
不満な点:ログインがうまくいかないことがある
単純なID・パスワードの入力画面なら大抵は問題はないのですが,以下のようなログイン画面の場合はうまく自動入力などが行われないことがあります。
- IDとパスワード以外の入力項目(画像認証など)がある 例:Vpass
- そのほか複雑な動作をするログイン画面 例:Google
- よくわからないが,うまくいかない 例:Twitter
あきぞう(筆者)がよく利用するMac版Safari(のパスワードマネージャー拡張機能)では,こういった場合にパスワード・IDをそれぞれ貼り付けるだけの機能は準備されていません。また,そのため,ログイン後などにパスワードのみを求められる状況にもうまく対応ができません。
こうなるとパスワードマネージャーの管理画面やアプリを開いてコピーペーストを行わなかればいけないので面倒です。
なお,Android/iOSアプリに搭載されている専用ブラウザであれば,パスワード・IDをそれぞれ単独で貼り付ける機能があります。また,専用ブラウザ以外では,iOSではパスワードの入力機能はそれなりに使いやすい(Androidは微妙)。
不満な点:設計思想が微妙
Hiromitsu Takagiさんのツイート[3]にあるような部分など「そもそもの考え方としてこれどうなん?」という部分が多々見受けられます。
何だかマイナスポイントばかりを書いてしまいましたが,そういった不満点やリスク,価格,求める機能などを総合的に判断してパスワードマネージャーを導入しています。
最低限の機能は果たしており,不満はありながらもぼちぼち納得しながら使っているという感じです。
最後に少しだけ元も子もないことを言う
パスワード管理ツールの話をしたうえでこのようなことを言うのも恐縮ですが,パスワードだけで守るという考え方は限界に近づいています。
対応しているサービスについては,2要素認証など,パスワードだけに頼らない本人確認手段を設定することも必要です。
ただし,もちろん,パスワードを適切に設定することの重要性は変わりません。今回の記事は,あくまでそういった視点のものであるとご理解ください。
出典
[1]NordPass, Press area for journalists and media outlets, https://nordpass.com/press-area/ (2020.9.29閲覧)
[2]ものぐさSE, パスワード管理ツールを比較したら驚きの結果でした, https://lazy-se.net/cmp-pwd-tools/ (2020.9.29閲覧)
[3]Hiromitsu Takagi, https://twitter.com/HiromitsuTakagi/status/1025710805713440768 (2020.9.29閲覧)
