多くの人は、アカウントを登録することも、パスワードを作ることも嫌います。そのため、アカウント作成時に何度もパスワードを使いまわしてしまうのかもしれません。登録という問題は解決されますが、セキュリティ上のギャップが残り、それがある日突然爆発する可能性があります。
その解決策のひとつがパスワードマネージャーです。これを使えば、複雑なパスワードを作成して保存することができます。ここでは、パスワードマネージャーがどのように機能するのか、また、ウェブ上での安全性を高めるためにどのように利用できるのかをご紹介します。
尚、パスワードマネージャーの不具合でパスワードを消失するリスクもあります。
ツールの活用は重要ですが、ツールだけに頼るのは注意しましょう。
パスワードマネージャーとは何ですか?
パスワードマネージャーとは、すべてのパスワードを生成し、安全な場所に保存することができるプログラムです。ほとんどのパスワードマネージャーでは、クレジットカード情報や安全なメモなども保存することができます。さらに安全性と利便性を高めるために、パスワードマネージャーはマスターパスワードの代わりにバイオメトリックデータ(指紋や顔)の使用をサポートしています。また、選択した情報をメールやインスタントメッセージにコピーペーストすることなく、家族や友人と共有することもできます。
そのため、各サイトで使用するすべてのログイン情報を記憶するのではなく、パスワードマネージャーを使用する場合は、1つのマスターパスワードを記憶するだけで済みます。また、自動保存や自動入力機能のおかげで、すべてのアカウントに簡単に接続できるようになります。
パスワードマネージャーはどのようにしてパスワードを保護するのですか?
パスワードマネージャーを分類する方法は複数あります。しかし、今回は3つの技術を紹介し、それらがどのように機能するかを説明したいと思います。また、プロバイダによっては、データを保存するために複数の方法を提供していることも指摘しておかなければならない。ほとんどのプロバイダは、あなたの金庫を保護するマスターパスワードを使用する必要があります。
ここでは、3種類のパスワードマネージャーを紹介します。
- ローカルにインストールされた、またはオフラインのパスワードマネージャー
- ウェブベース(オンライン)のパスワード管理サービス
- ステートレスまたはトークンベースのパスワードマネージャ
それでは、それぞれについて詳しく見ていきましょう。
ローカルにインストールされた、またはオフラインのパスワードマネージャー
その名の通り、ローカルにインストールされたパスワードマネージャーは、オフラインパスワードマネージャーとも呼ばれ、あなたのデータをあなたのデバイスに保存します。パソコンでもスマートフォンでも、お好みに応じてご利用いただけます。パスワードは、パスワードマネージャー本体とは別に、暗号化されたファイルに保存されています。パスワードマネージャーの中には、それぞれのパスワードを別々のファイルに保存できるものもあり、全体のセキュリティを大幅に向上させることができます。
いつものように、オフラインの金庫にアクセスするには、マスターパスワードが必要です。強力なパスワードであれば、政府やハッカーがあなたのローカルデータベースに侵入する可能性は最小限に抑えられます。というのも、軍用の暗号を解読するには膨大な時間がかかるからです。さらに、すべてのパスワードが入ったデバイスをオフラインにしておけば、押収しない限りアクセスすることはできません。
オフラインのパスワードマネージャには、当然ながらいくつかの欠点があります。まず、複数のデバイスで使用するのは難しいでしょう。保管場所は1つしかなく、他のデバイスは保管場所のあるデバイスと何らかの方法で同期する必要があります。これは通常、ローカルにインストールされたパスワードマネージャーのあるデバイスをオンラインにすることを意味し、第三者がアクセスできるようになります。最後に、オフラインのパスワードマネージャーがインストールされたデバイスが故障し、バックアップがない場合、面倒な手作業を覚悟しなければなりません。
オフラインまたはローカルにインストールされたパスワードマネージャーがあれば、パスワードはローカルに保存されていることになります。正確に言うと、それはあなたが金庫として選んだデバイスです。ただし、複数のデバイス間でパスワードを同期させることができるので、すべてのデバイスがオンラインになっている必要があります。さらにセキュリティを強化したい場合は、パスワードを異なるファイルに保存し、それぞれに固有のキーを必要とすることができます。
【メリット】
- 誰かにパスワードの保管場所を破られるリスクを排除できる
- 通常、無料のサービスです
【デメリット】
- 1台のデバイスでしかVault(金庫≒マスターデータ)にアクセスできない
- デバイスを紛失した場合、Vaultも紛失。
ウェブベースまたはオンラインのパスワード管理サービス
最後に、ウェブベースのパスワードマネージャーにはお金がかかると思ってください。素晴らしい無料版もありますが、デバイスの制限やダークウェブのスキャンなど一部の機能は常に有料です。とはいえ、ほとんどの有料オンライン・パスワード・マネージャーは、特に長期的に利用するのであれば、銀行を破綻させることはないでしょう。
あなたはオンライン(またはウェブベース)のパスワードマネージャーを使っているかもしれません。この場合、あなたのパスワードはオンラインで保存されます。マスターパスワードさえあれば、24時間いつでもどこからでも利用できます。パスワードマネージャークライアントをインストールする必要はありません。ほとんどの場合、ブラウザの拡張機能で十分です。ほとんどの場合、ブラウザの拡張機能で十分です。時々、プロバイダのウェブサイトで利用可能なウェブアプリケーションを介してボールトにアクセスできます。
【メリット】
- すべてのデバイスでVaultを同期できる
- 通常は有料のサービスとなります
【デメリット】
- 認証にはインターネットへの接続が必要です。
- 認証情報が未知の場所に保存されている
ステートレスまたはトークンベースのパスワードマネージャー
最後にご紹介するのは、トークンベースまたはステートレスのパスワードマネージャーです。このシナリオでは、フラッシュUSBデバイスなどのローカルハードウェアに、特定のアカウントのロックを解除するためのキーが格納されている。ログインするたびにパスワードが生成されるため、パスワードの保管場所もありません。安全性を高めるために、トークンだけでなく、マスターパスワードも使用することをお勧めします。こうすることで、二要素認証を実現することができます。
ステートレス型のパスワードマネージャーは、そもそもデータベースが存在しないため、デバイス間の同期が不要です。ある意味では、ハッカーがすべてのパスワードを見つけられる場所がないので、そのほうが安全です。ただし、トークンベースのパスワードは、マスターパスワードと1つのアカウントを知っていれば、ハッキングすることができます。
オンラインのパスワードマネージャーとは異なり、これらは通常、無料でオープンソースである。そのため、フォーラムやナレッジベースでのサポートしか受けられないため、アマチュアユーザーには特にお勧めできない。その上、トークンを生成するためには、スマートカードリーダーやUSBスティックが必要になります。
トークンベースのパスワードマネージャー(ステートレス・パスワードマネージャーとも呼ばれる)を使っている人は、パスワードがどこにも保存されていないことになります。どうしてそうなるのでしょうか?その名のとおり、パスワードの保管場所はなく、特定のアカウントにアクセスするたびにトークンが生成されるだけだからだ。トークンは、USBメモリなどの外部デバイスで生成することができます。
【メリット】
- 認証情報は別のデバイスに保存されます
- デバイスを紛失すると、アクセス権も失われる
- この方法では、通常、専用のハードウェアとソフトウェアが必要
- パスワード生成。パスワードを考えるために、自分の好きなものについて15分も考え込む必要はありません。いくつかのパスワードマネージャでは、複雑さを変えた安全なパスワードを生成することができます。時間の節約になるだけでなく、よりよいパスワードを考え出すことができます。
- プロセスの簡略化。パスワードマネージャは、パスワードを保存する最も安全な方法のひとつであるだけではありません。信頼できるパスワードマネージャーツールを使えば、1つのアプリケーションですべてのログインを管理することができます。多数のウェブサイトやプラットフォームを利用している人の救世主となる。
- イチイチ入力不要。ほとんどのパスワードマネージャーには、パスワードやその他の定期的な情報を自動入力する機能が組み込まれています。それは、支払い情報や住所などにも及びます。パスワードをいちいち覚えておく手間が省けます。
- 安全なパスワードの共有。多くの人が友人や家族とアカウントを共有しています。Netflixでは、すべてのユーザーが同じパスワードでログインできるようになっています。しかし、パスワードを共有するための最良の方法は、それをチャットに貼り付けることではありません。これではトラブルの元になってしまいます。そこでパスワードマネージャーは、ユーザーが他のユーザーと安全にパスワードを共有できるようにしました。
- 複数プラットフォームに対応。アプリケーションとして、パスワードマネージャーは全く複雑ではなく、多くのリソースを必要としません。つまり、Webブラウザやスマートフォンのアプリなど、さまざまなプラットフォーム向けに開発することがはるかに容易なのです。エンドユーザーにとっては、どのような接続方法であっても、同じパスワード保管庫を利用することができるということです。
- 多要素認証。ハッカーがキーロガーをインストールしてマスターパスワードを入手したとしても、二要素認証を有効にしていれば、世界の終わりを意味するものではありません。二要素認証がなければパスワードは使えませんから、あなたは安全ですし、金庫もロックされたままになります。
- パスワードマネージャーをどのデバイスで使うかを決めます。スマートフォンにしますか?その場合、他の誰かがあなたのアクセスコードを知っていますか?タブレットやスマートテレビなど、家庭内の共有デバイスはどうしますか?職場のコンピューターでもパスワードマネージャーを使用しますか?これらは、金庫をセットアップする前に、自分自身に問いかけるべき最も重要な質問です。
- 選んだパスワードマネージャーをインストールする。無料のものも有料のものもたくさんありますが、最高のパスワードマネージャーだけを使うことをお勧めします。無料版にどんな機能があるか(ある場合)、追加された特典が価格に見合うものかどうかを確認する必要があります。その上で、お使いのOSやブラウザに対応しているかどうかを確認してください。また、現在使っている金庫をインポートしようと思っているなら、まずそれが可能かどうかを確認しましょう。最後に、24時間365日のカスタマーサポートを受けるために多少の費用を払うことは、しばしば利益につながります。
- 安全なマスターパスワードを作成する。選択したパスワードマネージャーがマスターパスワードの復元を可能にしている場合でも、覚えやすく、かつ推測しにくいパスワードを選択する必要があります。最後の条件を満たすためには、ランダムに選ばれた4〜5個の単語を含むパスフレーズを使用するのがよいでしょう。最後に、奇妙に聞こえるかもしれませんが、あなたが最も信頼している人とマスターパスワードを共有し、あなたに何かあったときに、その人があなたの金庫にアクセスできるようにしましょう。
- 2要素認証(2FA)を有効にする。2FAを追加すると、パスワードのセキュリティが大幅に向上します。2つ目の要素は、「あなたが持っているもの」(おそらくスマートフォン)でもよいのですが、「あなた自身が持っているもの」を選び、生体認証を利用することをお勧めします。デバイスによっては、指紋だけでなく、顔認証も利用できます。さらに、マスターパスワードの代わりに2FAを使えば、タッチスクリーン端末での使い勝手が格段に向上します。
- パスワードの入力を開始する。新しいパスワードマネージャーに慣れる前に、また、マスターパスワードがまだうまく覚えられないうちに、まずは重要度の低いパスワードを入力してみてはいかがでしょうか。マスターパスワードの復旧に使用するメールには、強力なパスワードを設定しておくとよいでしょう。そうしないと、ハッカーはメールボックスに侵入した後、簡単にあなたのデータベースを手に入れることができます。
- 他のデータの追加も検討しましょう。パスワードマネージャの大半は、ログイン情報だけでなく、クレジットカードの詳細や安全なメモなども保存できるようになっています。オンラインショッピングが多い人は、支払い情報を自動入力できるようにしておくと、かなりの時間を節約できます。また、最も信頼できる友人にしか教えたくないような秘密を保管するのに、これほど適した場所はないでしょう。
- ログイン情報を共有する。遅かれ早かれ、誰かがあなたのNetflixアカウントを尋ねるでしょう。ユーザー名とパスワードをコピーして貼り付けるのは最善の方法ではありません。そのため、パスワードマネージャーでは、他の人とログイン情報を共有することができます(少なくとも一部のサービスでは可能です)。一部のサービスでは、機密性が低く、共有されることの多いパスワードを保存するフォルダを作成することもできます。
