パスワード管理ソフトは現代人必須のたしなみです
いまだに解決を見ないコインチェック問題が記憶に新しいように、現代ではセキュリティに関するリスクが高まっています。 どれだけアンチウィルス関連ソフトウェアや生体認証技術が発展しても、すこしでもIT技術の恩恵に預かろうとするならば、人類がIDとパスワードといったアカウント情報の管理作業から逃れることは当分ないように思えます。
というわけで、自分の大切な情報は自分で管理しましょうという話。
まだパスワード管理にExcel使ってるの?
やはり最初に書いておきたいのが、みんな大好きExcel。
これをパスワード管理に使っている話を、意外なほどよく聞きます。 「出、出~ww表計算秘密鍵保管使奴~~www」と思うかもしれませんが、ITにあまり詳しくない人々を中心に、実際けっこういるんですよ。私の妻もそうでした。
これ、本当に危険です。 即、やめましょう。
というか、単なる表計算ソフトにどんなセキュリティを期待しているのですか? 別に開発者やハッカーでなくとも、ちょいと知ってる人なら一瞬で突破します。 Excelファイル自体にパスワードをつけることもできますが、ほとんど意味はないです。
ついでにいえば、ファイル名に「マイナンバー.xls」と命名するとか、正気の沙汰とは思えません。あるいは、笑いのネタかもしれません。
じゃあどうすればいいのよ
パスワード管理ソフトを導入しましょう。 優秀なパスワード管理ソフトを使うと、ログイン画面にアクセスするだけでIDとパスワードを自動入力してくれます。
ほとんどのブラウザにも同じ機能があるじゃん、と思ったあなた。 ブラウザなんて世界中のハッカーに狙われて、脆弱性発見と緊急アップデートのイタチごっこでお祭り騒ぎを繰り返しているソフトウェアです。 ブラウザ内部にパスワードを保存しておくのは大変危険なので1、あまり頼るべきではないです。
というわけで、パスワード管理は専用のソフトウェアを使うことをオススメします。
パスワード管理ソフトとは
メリット
パスワード管理ソフトを使うことで人間がいちいち覚えなくて(紙にメモしなくて)よくなります。 登録したサイトにアクセスしたとき、IDとパスワードを自動入力することもできます。
これだけではブラウザに記憶させた場合と同じですが、ブラウザはセキュリティの観点からいえば、基本的にザルだと思っておいたほうがよいです。 複数人で同じPCを使うなら、そのPCを使う人は(基本的に)誰でも開けますし、使っている場合は、もちろんパスワードは個人フォルダに保存されますが、ちょっと席を離れたときとか、要注意です。 同じことならパスワード管理ソフトは必須です。
パスワード管理ソフトを使うときは、まず「マスターパスワード」を設定します。 マスターパスワードだけ覚えておけば、あとは(ログイン時に自動的に)ツールが覚えてくれます。
個別のサイトのログインについては、パスワード自動生成ツールとパスワード強度判定が付属していることが多いので、これは使うべきですね。パスワードをできる限り長く、超複雑で、(人間にとって)無意味な文字列に変更することができます。どうせ覚えなくていいんだから、できる限り長い文字列にすればよろしいかと。
LastPass(後述)の「セキュリティチャレンジ」画面
定期的に変更する?
パスワードの定期的な変更は諸説あります。 これを義務付けるようなシステムもあったりしますが、これはまぁ好みの問題なのかな、と私は思っています。 定期的に変更しても、結果的に「弱い」パスワードであるなら意味はないし。 それよりも、まずは十分堅牢なパスワードを設定しておくべきです。
パスワード定期変更を行うべきかどうかという話。せっかくなので表にした。雑なまとめにつき細かい表現は原典確認してください。(それぞれの文書の対象が違う点にも注意)
— doumae (@donz80) 2018年3月5日
・内閣府(NISC)
・総務省
・経済産業省
・JIS
・プライバシーマーク
・PCI DSS pic.twitter.com/oAAKkAV3r9
セキュリティ管理ソフト紹介
パスワード管理ソフトは各社から数多くリリースされています。 ネット上でも「本当に使えるパスワード管理ソフト ○選」的な記事で紹介されていたりしますが、ただ機能を羅列しただけだったり、どう見ても提灯記事だったり、まぁいつも通りのインターネット・クオリティです。
本記事では私が試したものだけ紹介していきますが、結局のところ、これもたいして根拠はないので、まぁご自身で判断してくださいませ。
トレンドマイクロ・パスワードマネージャー
試しましたが、これはダメです。完全に個人の感想です。
トレンドマイクロパスワードとマスターパスワードが別なのが分かりにくいのは、ぎりぎり許せるとして。
実は2年前にやらかしていたらしい。
UIもダメですね。Androidアプリは、しばらく使わないでいるとロックかかります。そこから復帰するためにはマスターパスワードを再入力するのですが(ここまでは正常)、ここにバグがあり、復帰できなくなります。一度アプリを終了すれば、復帰できるようになりますが、使い勝手が悪い。
私は書評なんかで批評・酷評することはあっても、あまり批判的に書くのは普段控えていますが、これは使わないほうがよい、とまで書きたくなったのは初めてかもしれません。 リンクを貼るのも差し控えます。
LastPass
今のところ、これがよさげ。 これといった目ぼしい機能がないと思いましたが、その分、強固に守ってくれていると信じて。 セキュリティがしっかりしてる、というのは「やらかし」てないだけとも言えますが、その積み重ねが信頼に繋がるんだと思います。
登録件数は無制限。 ブラウザ連携の使い勝手が素晴らしいです。
驚いたのが、LastPass上でサイトのパスワード変更ができること。 もちろん全部のサイトではなく、有名どころ(パスワード変更APIを提供しているサイト)だけですが、そのサイトとパスワード管理ソフトの両方のパスワード変更を1クリックでやってくれるのです。
それでも、クラウドに個人情報を保存するわけで、いつ取り出せなくなるとも限りませんので、あまり重要な情報(とくにお金関係)は置いていません。
ID Manager
ここでフリーソフト「ID Manager」の出番。 有能な個人開発者が「善意で提供してくれている:フリーソフトです。 個人的には、これがセキュリティに関しては今回最強ツールだと思っています。
このソフトの特徴はなんといっても、クラウドなんてチャラいこととは無縁で、個人情報を暗号化してローカルにファイル保存します。なんて硬派。
つまり、PCが壊れなければ(Windowsが続く限り)半永久的に安全にパスワードを管理できるわけです。
私はこれに銀行や保険などの、特にお金に関するアカウント情報を入れています。
ハードウェアで物理的に管理
とはいえ、ローカルといっても自宅PCでしか使えるないと不便です。 私はID Managerで暗号化した管理ファイルを、キー型のUSBフラッシュメモリに入れて、キーホルダーにまとめて持ち歩いています。自宅のカギと一緒の重要度(とリスク)というわけです。
もちろんUSBフラッシュメモリだけでは、いつデータが吹っ飛ぶか不安も残るので、バックアップ(とID Manager本体)をGoogle Driveに入れています。 結局クラウドに頼ることになるのは若干悔しいですが、クラウドはあくまでバックアップ、と考えておくのはリスク回避に有効です。PCが壊れた時とかね。
さらに強固にするには、ロック機能がついたUSBフラッシュメモリなんかも販売されています。
- 出版社/メーカー: Yubico
- メディア: 付属品
- この商品を含むブログを見る
PCにUSBキーを挿すことでパスワード解除されるデバイス。 まだまだ対応しているサービスが少ないのですが、GoogleやDropBoxに対応したりとサービスは増えている印象。
まだ試してませんが、買って試したい。
まとめ
たとえば現在、自動車業界では「つながるクルマ」という技術が注目されています。 クルマ本体をインターネットにつないで、渋滞情報やら周囲環境の情報をダウンロードし、うまいこと活用していこう、という取組み。
ここでもパスワードは必要になります。 クルマの場合は、1台ずつ車体固有番号が割り振られているので、クルマと人の連携さえ登録できればいいのですが、しかし結局、人の情報を取り扱うためにはアカウント登録が必要。そこでどうしてもパスワードがつきまといます。
同じように、SNSやらデジタル・IT関連技術は、あらゆるといっていいほどなんでもスマホ対応しており、スマホ個体識別番号とスマホ所有者の個人情報を結び付けてからでないと、「使える」サービスを提供することができない(モノが多い)です。
自然とアカウント情報について取り扱わざるをえないので、この方面の技術は今後もしばらく発展すると考えられます。 「パスワード」というものがなくなる(ほどテクノロジーが発達する)のは何年後ですかね。 指紋認証と声紋認証と虹彩識別を同時にチェックしてもらうくらいじゃないと、無くならない気もします。それでも結局、「緊急用」とかいって残りそう。
何が言いたいかというと、どうあってもパスワード管理はちゃんとやっておいたほうがよさげ、ということです。 まぁツールはなんでもいいんですが、まずはよく使うサイトを2~3件登録して使ってみてください。
SBI、社長がコインチェック社を「セキュリティーにお金をかけずに客を集めるためにお金を使ったカス中のカス」と罵った1ヶ月後に公式Twitterアカウント乗っ取られてレイバンしてるのめちゃくちゃ面白いな…
— ばんくし (@vaaaaanquish) 2018年3月18日
参考
大変参考になるけど構築維持が大変そう