パスワードマネージャーとは、すべてのパスワードを生成し、安全な場所に保存することができるプログラムのことです / A password manager is a program that allows you to generate and store all your passwords in a safe location.（転載）～トレンドマイクロのパスワードマネージャーは使ってはいけない～

A password manager is a program that allows you to generate and store all your passwords in a safe location. 

cybernews.com/best-password-…

多くの人は、アカウントを登録することも、パスワードを作ることも嫌います。そのため、アカウント作成時に何度もパスワードを使いまわしてしまうのかもしれません。登録という問題は解決されますが、セキュリティ上のギャップが残り、それがある日突然爆発する可能性があります。

その解決策のひとつがパスワードマネージャーです。これを使えば、複雑なパスワードを作成して保存することができます。ここでは、パスワードマネージャーがどのように機能するのか、また、ウェブ上での安全性を高めるためにどのように利用できるのかをご紹介します。

尚、パスワードマネージャーの不具合でパスワードを消失するリスクもあります。

ツールの活用は重要ですが、ツールだけに頼るのは注意しましょう。

パスワードマネージャーとは何ですか？

パスワードマネージャーとは、すべてのパスワードを生成し、安全な場所に保存することができるプログラムです。ほとんどのパスワードマネージャーでは、クレジットカード情報や安全なメモなども保存することができます。さらに安全性と利便性を高めるために、パスワードマネージャーはマスターパスワードの代わりにバイオメトリックデータ（指紋や顔）の使用をサポートしています。また、選択した情報をメールやインスタントメッセージにコピーペーストすることなく、家族や友人と共有することもできます。

そのため、各サイトで使用するすべてのログイン情報を記憶するのではなく、パスワードマネージャーを使用する場合は、1つのマスターパスワードを記憶するだけで済みます。また、自動保存や自動入力機能のおかげで、すべてのアカウントに簡単に接続できるようになります。

パスワードマネージャーはどのようにしてパスワードを保護するのですか？

パスワードマネージャーを分類する方法は複数あります。しかし、今回は3つの技術を紹介し、それらがどのように機能するかを説明したいと思います。また、プロバイダによっては、データを保存するために複数の方法を提供していることも指摘しておかなければならない。ほとんどのプロバイダは、あなたの金庫を保護するマスターパスワードを使用する必要があります。

ここでは、3種類のパスワードマネージャーを紹介します。

• ローカルにインストールされた、またはオフラインのパスワードマネージャー
• ウェブベース（オンライン）のパスワード管理サービス
• ステートレスまたはトークンベースのパスワードマネージャ

それでは、それぞれについて詳しく見ていきましょう。

ローカルにインストールされた、またはオフラインのパスワードマネージャー

その名の通り、ローカルにインストールされたパスワードマネージャーは、オフラインパスワードマネージャーとも呼ばれ、あなたのデータをあなたのデバイスに保存します。パソコンでもスマートフォンでも、お好みに応じてご利用いただけます。パスワードは、パスワードマネージャー本体とは別に、暗号化されたファイルに保存されています。パスワードマネージャーの中には、それぞれのパスワードを別々のファイルに保存できるものもあり、全体のセキュリティを大幅に向上させることができます。

いつものように、オフラインの金庫にアクセスするには、マスターパスワードが必要です。強力なパスワードであれば、政府やハッカーがあなたのローカルデータベースに侵入する可能性は最小限に抑えられます。というのも、軍用の暗号を解読するには膨大な時間がかかるからです。さらに、すべてのパスワードが入ったデバイスをオフラインにしておけば、押収しない限りアクセスすることはできません。

オフラインのパスワードマネージャには、当然ながらいくつかの欠点があります。まず、複数のデバイスで使用するのは難しいでしょう。保管場所は1つしかなく、他のデバイスは保管場所のあるデバイスと何らかの方法で同期する必要があります。これは通常、ローカルにインストールされたパスワードマネージャーのあるデバイスをオンラインにすることを意味し、第三者がアクセスできるようになります。最後に、オフラインのパスワードマネージャーがインストールされたデバイスが故障し、バックアップがない場合、面倒な手作業を覚悟しなければなりません。

オフラインまたはローカルにインストールされたパスワードマネージャーがあれば、パスワードはローカルに保存されていることになります。正確に言うと、それはあなたが金庫として選んだデバイスです。ただし、複数のデバイス間でパスワードを同期させることができるので、すべてのデバイスがオンラインになっている必要があります。さらにセキュリティを強化したい場合は、パスワードを異なるファイルに保存し、それぞれに固有のキーを必要とすることができます。

【メリット】

• 誰かにパスワードの保管場所を破られるリスクを排除できる
• 通常、無料のサービスです

【デメリット】

• 1台のデバイスでしかVault(金庫≒マスターデータ)にアクセスできない
• デバイスを紛失した場合、Vaultも紛失。

ウェブベースまたはオンラインのパスワード管理サービス

最も普及しているウェブベースのパスワードマネジャーは、パスワードをクラウド（通常はプロバイダーのサーバー）に保存します。このように設定することで、オンラインパスワードマネージャーのソフトウェアをインストールしなくても、いつでもどこからでもパスワードにアクセスできるようになります。ウェブアプリケーションでアクセスできない場合は、ブラウザの拡張機能やモバイルアプリケーションが必要となります。

しかし、自分のパスワードがプロバイダからアクセスできないことをどうやって知ることができるでしょうか。評判の良いオンラインパスワードマネージャーは、すべてゼロトラストテクノロジーを使用しています。つまり、データをサーバーに送信する前に、あなたのデバイス上でデータを暗号化するということだ。これは、お客様のデータは、お客様のデバイス上で暗号化され、サーバーに送信されますが、お客様のデータは、24時間365日、第三者がアクセスできる状態にあります。さらに、あなたのデバイスにキーロガー・マルウェアがあり、二要素認証を使用していなければ、セキュリティ対策は何の意味もありません。

最後に、ウェブベースのパスワードマネージャーにはお金がかかると思ってください。素晴らしい無料版もありますが、デバイスの制限やダークウェブのスキャンなど一部の機能は常に有料です。とはいえ、ほとんどの有料オンライン・パスワード・マネージャーは、特に長期的に利用するのであれば、銀行を破綻させることはないでしょう。

あなたはオンライン（またはウェブベース）のパスワードマネージャーを使っているかもしれません。この場合、あなたのパスワードはオンラインで保存されます。マスターパスワードさえあれば、24時間いつでもどこからでも利用できます。パスワードマネージャークライアントをインストールする必要はありません。ほとんどの場合、ブラウザの拡張機能で十分です。ほとんどの場合、ブラウザの拡張機能で十分です。時々、プロバイダのウェブサイトで利用可能なウェブアプリケーションを介してボールトにアクセスできます。

【メリット】

• すべてのデバイスでVaultを同期できる
• 通常は有料のサービスとなります

【デメリット】

• 認証にはインターネットへの接続が必要です。
• 認証情報が未知の場所に保存されている

ステートレスまたはトークンベースのパスワードマネージャー

最後にご紹介するのは、トークンベースまたはステートレスのパスワードマネージャーです。このシナリオでは、フラッシュUSBデバイスなどのローカルハードウェアに、特定のアカウントのロックを解除するためのキーが格納されている。ログインするたびにパスワードが生成されるため、パスワードの保管場所もありません。安全性を高めるために、トークンだけでなく、マスターパスワードも使用することをお勧めします。こうすることで、二要素認証を実現することができます。

ステートレス型のパスワードマネージャーは、そもそもデータベースが存在しないため、デバイス間の同期が不要です。ある意味では、ハッカーがすべてのパスワードを見つけられる場所がないので、そのほうが安全です。ただし、トークンベースのパスワードは、マスターパスワードと1つのアカウントを知っていれば、ハッキングすることができます。

オンラインのパスワードマネージャーとは異なり、これらは通常、無料でオープンソースである。そのため、フォーラムやナレッジベースでのサポートしか受けられないため、アマチュアユーザーには特にお勧めできない。その上、トークンを生成するためには、スマートカードリーダーやUSBスティックが必要になります。

トークンベースのパスワードマネージャー（ステートレス・パスワードマネージャーとも呼ばれる）を使っている人は、パスワードがどこにも保存されていないことになります。どうしてそうなるのでしょうか？その名のとおり、パスワードの保管場所はなく、特定のアカウントにアクセスするたびにトークンが生成されるだけだからだ。トークンは、USBメモリなどの外部デバイスで生成することができます。

【メリット】

• 認証情報は別のデバイスに保存されます

【デメリット】

• デバイスを紛失すると、アクセス権も失われる
• この方法では、通常、専用のハードウェアとソフトウェアが必要

パスワードマネージャーはどのようにパスワードを暗号化するのですか？

256ビットのAES暗号は、データの暗号化と復号化を行い、許可された人だけがアクセスできるようにするために使用される軍用レベルの暗号です。2005年にNSAや大手企業が採用したことで、仮想プライベートネットワーク、ファイアウォール、パスワードマネージャーなどの標準仕様となりました。

AESが暗号化であるのに対し、256ビットは鍵である。暗号化キーは0と1のランダムな文字列です。この場合、2の256乗通りの組み合わせがあるということになります。組み合わせが多ければ多いほど、ブルートフォースで正しいものを作るのが難しくなります。

AES 256ビットは、いわゆる共通鍵暗号化アルゴリズムです。鍵はデータの暗号化と復号化の両方に使用されるため、双方がそれを知っている必要があります。一方、公開鍵暗号では、暗号化に公開鍵を使用し、復号化に秘密鍵を使用します。そのため、秘密鍵はデバイスから離れる必要がなく、セキュリティが向上します。

すべてのパスワードマネージャが AES-256 暗号化を使用するわけではありません。安全性の低い（ブルートフォースが極めて困難な）AES128ビット規格を採用しているものもあります。このようなパスワードマネージャーは、無料のオープンソースのパスワードマネージャーであることが多く、アップデートの頻度は低いです。

しかし、AES 256ビットよりも優れた暗号化は、すでに XChaCha2 という名前で登場しています。今のところ、プレミアムパスワードマネージャーの中で、NordPassだけがこの次世代暗号を実装しています。NordPassには鍵の抽出にArgon2が搭載されており、XChaCha2はパスワード保管庫を暗号化します。

パスワードマネージャーを使う理由は？

1. パスワード生成。パスワードを考えるために、自分の好きなものについて15分も考え込む必要はありません。いくつかのパスワードマネージャでは、複雑さを変えた安全なパスワードを生成することができます。時間の節約になるだけでなく、よりよいパスワードを考え出すことができます。
   
   
2. プロセスの簡略化。パスワードマネージャは、パスワードを保存する最も安全な方法のひとつであるだけではありません。信頼できるパスワードマネージャーツールを使えば、1つのアプリケーションですべてのログインを管理することができます。多数のウェブサイトやプラットフォームを利用している人の救世主となる。
   
   
3. イチイチ入力不要。ほとんどのパスワードマネージャーには、パスワードやその他の定期的な情報を自動入力する機能が組み込まれています。それは、支払い情報や住所などにも及びます。パスワードをいちいち覚えておく手間が省けます。
   
   
4. 安全なパスワードの共有。多くの人が友人や家族とアカウントを共有しています。Netflixでは、すべてのユーザーが同じパスワードでログインできるようになっています。しかし、パスワードを共有するための最良の方法は、それをチャットに貼り付けることではありません。これではトラブルの元になってしまいます。そこでパスワードマネージャーは、ユーザーが他のユーザーと安全にパスワードを共有できるようにしました。
   
   
5. 複数プラットフォームに対応。アプリケーションとして、パスワードマネージャーは全く複雑ではなく、多くのリソースを必要としません。つまり、Webブラウザやスマートフォンのアプリなど、さまざまなプラットフォーム向けに開発することがはるかに容易なのです。エンドユーザーにとっては、どのような接続方法であっても、同じパスワード保管庫を利用することができるということです。
   
   
6. 多要素認証。ハッカーがキーロガーをインストールしてマスターパスワードを入手したとしても、二要素認証を有効にしていれば、世界の終わりを意味するものではありません。二要素認証がなければパスワードは使えませんから、あなたは安全ですし、金庫もロックされたままになります。

パスワードマネージャーの設定

その答えは、どのようなタイプのパスワードマネージャーを使おうとしているかによって異なります。トークンベースであれば、まず鍵の生成に使用するデバイスの種類を決める必要があります。また、オフラインのパスワードマネージャーに決めている場合は、データベースを保存する主なデバイスを選択する必要があります。また、オンラインサービスを利用する場合は、無料か有料かを選択することで、時間を大幅に短縮することができます。

7ステップのパスワードマネージャー設定

Webベースのパスワードマネージャーは最もユーザーフレンドリーなので、ここではそれを例に説明します。以下は、パスワードマネージャーを設定する際の主な手順です。

1. パスワードマネージャーをどのデバイスで使うかを決めます。スマートフォンにしますか？その場合、他の誰かがあなたのアクセスコードを知っていますか？タブレットやスマートテレビなど、家庭内の共有デバイスはどうしますか？職場のコンピューターでもパスワードマネージャーを使用しますか？これらは、金庫をセットアップする前に、自分自身に問いかけるべき最も重要な質問です。
   
   
2. 選んだパスワードマネージャーをインストールする。無料のものも有料のものもたくさんありますが、最高のパスワードマネージャーだけを使うことをお勧めします。無料版にどんな機能があるか（ある場合）、追加された特典が価格に見合うものかどうかを確認する必要があります。その上で、お使いのOSやブラウザに対応しているかどうかを確認してください。また、現在使っている金庫をインポートしようと思っているなら、まずそれが可能かどうかを確認しましょう。最後に、24時間365日のカスタマーサポートを受けるために多少の費用を払うことは、しばしば利益につながります。
   
   
3. 安全なマスターパスワードを作成する。選択したパスワードマネージャーがマスターパスワードの復元を可能にしている場合でも、覚えやすく、かつ推測しにくいパスワードを選択する必要があります。最後の条件を満たすためには、ランダムに選ばれた4〜5個の単語を含むパスフレーズを使用するのがよいでしょう。最後に、奇妙に聞こえるかもしれませんが、あなたが最も信頼している人とマスターパスワードを共有し、あなたに何かあったときに、その人があなたの金庫にアクセスできるようにしましょう。
   
   
4. 2要素認証（2FA）を有効にする。2FAを追加すると、パスワードのセキュリティが大幅に向上します。2つ目の要素は、「あなたが持っているもの」（おそらくスマートフォン）でもよいのですが、「あなた自身が持っているもの」を選び、生体認証を利用することをお勧めします。デバイスによっては、指紋だけでなく、顔認証も利用できます。さらに、マスターパスワードの代わりに2FAを使えば、タッチスクリーン端末での使い勝手が格段に向上します。
   
   
5. パスワードの入力を開始する。新しいパスワードマネージャーに慣れる前に、また、マスターパスワードがまだうまく覚えられないうちに、まずは重要度の低いパスワードを入力してみてはいかがでしょうか。マスターパスワードの復旧に使用するメールには、強力なパスワードを設定しておくとよいでしょう。そうしないと、ハッカーはメールボックスに侵入した後、簡単にあなたのデータベースを手に入れることができます。
   
   
6. 他のデータの追加も検討しましょう。パスワードマネージャの大半は、ログイン情報だけでなく、クレジットカードの詳細や安全なメモなども保存できるようになっています。オンラインショッピングが多い人は、支払い情報を自動入力できるようにしておくと、かなりの時間を節約できます。また、最も信頼できる友人にしか教えたくないような秘密を保管するのに、これほど適した場所はないでしょう。
   
   
7. ログイン情報を共有する。遅かれ早かれ、誰かがあなたのNetflixアカウントを尋ねるでしょう。ユーザー名とパスワードをコピーして貼り付けるのは最善の方法ではありません。そのため、パスワードマネージャーでは、他の人とログイン情報を共有することができます（少なくとも一部のサービスでは可能です）。一部のサービスでは、機密性が低く、共有されることの多いパスワードを保存するフォルダを作成することもできます。

パスワードマネージャーは、複数のデバイスやスマホアプリで使えますか？

すべてのパスワードマネージャーが、スマートフォンを含む複数のデバイスで動作するわけではありません。ステートレスなパスワードマネージャーは、1つのデバイスだけがアカウントのパスワードを生成できるという考え方に基づいています。さらに言えば、パスワードの保管場所を確認できるようなものでもありません。

また、ローカルにインストールされたパスワードマネージャーは、たくさんのデバイスでの使用には適していません。なぜなら、1台のパソコンやスマートフォンにデータベースを保存しているので、すべてのデバイス間での同期は可能ですが、便利ではないからです。もちろん、多要素認証を使用することになれば、互換性のある2つのデバイスが必要になるでしょう。

ウェブベースのパスワードマネージャは、複数のデバイス、モバイルアプリ、さらにはブラウザの拡張機能で動作する。また、プロバイダーのウェブサイトからアクセスできるウェブアプリケーションを提供しているところもあります。パスワードマネージャーはクラウドに保存されているため、デバイスを選ばず、最大限の使いやすさが保証されているのです。実際の利用範囲は、利用しているサービスによって異なります。

パスワード管理ツールのリスクは？ / What About Password Manager Risks?

すべてのユーザーがパスワード管理ツールを使用して、完全にランダムなパスワードを作成し使用することを推奨しています。完全にランダムな12文字以上のパスワードは、既知のすべてのパスワード推測およびクラッキング攻撃に対して不死身です。人間が作成したパスワードは、20文字以上でなければ同じ保護は得られません。人間は、非常に長い（時には複雑な）パスワードを作成または使用することを好まないので、我々は代わりに信頼できるパスワードマネージャのプログラムを使用することをお勧めします。

よくある質問は、パスワード管理ツールはお金を払ってまで使う価値があるのか、というものです。

その答えは「イエス」だと考えています。パスワード管理ツールを使うことで人が得るリスクの増加は、すべてのメリットによって相殺され、デメリットからリスクを減少させ、徹底的に相殺されると考えています。

パスワード管理ツールを使用するリスクとメリットを見てみましょう。それらは次のようにまとめることができます。

デメリット

• パスワード管理ツールを入手し、インストールする必要がある
• パスワード管理ツールの使用方法を習得する必要がある
• パスワード管理ツールを使用すると、パスワードの作成または入力に時間がかかる場合がある（ただし、必ずしもそうとは限りません）。
• 攻撃される可能性がある
• パスワード管理ツールは、すべてのプログラムまたはデバイスで動作するわけではない
• パスワード管理ツールにアクセスできない場合（破損、ログイン権限の喪失など）、ユーザはそこに含まれるすべてのログイン情報へのアクセスを一度に失うことになる
• 攻撃者がパスワード管理ツールを侵害した場合、攻撃者はユーザーのすべてのパスワード（および所属するサイト）に一度にアクセスし、取得できる可能性がある

メリット

• 完全にランダムなパスワードを作成し、使用することができます。
• サイトやサービスごとに異なるパスワードを簡単に作成し、使用することができます。
• パスワードフィッシングの防止に使用できる
• MFAソリューションのシミュレーションに使用できるため、ユーザーは個別のMFAプログラムやトークンを必要としない
• デバイス間でパスワードを共有できるため、ユーザが必要な場所にパスワードを置くことができます。
• パスワードのバックアップをより簡単に、より安全に行うことができます。
• すべてのパスワードは、パスワードマネージャへのMFAログイン要件によって保護される場合があります。
• ユーザが気づかなかったパスワードの漏洩を警告することができる
• 異なるサイトやサービス間で使用されている同一のパスワードについて警告することができます。
• 元のユーザーが一時的または恒久的に能力を失った場合、または使用できない場合、必要なときに信頼できる人と共有することができます。

誰かのパスワード管理ツールが漏洩し、その漏洩から、保存されているすべてのサイトやサービスに対するユーザーのすべてのパスワードが一度に非常に速く盗まれるというのは、非常に現実的なリスクです。これは、パスワード管理ツールを使用している管理者またはユーザーが検討する必要がある巨大なリスクです。

リスク評価

このリスクに対しては、次のように考えます。まず、ユーザーのパスワード管理プログラムを侵害するためには、ほとんどの場合、攻撃者はパスワード管理プログラムを実行しているユーザーのデバイスにアクセスし、開いた状態でアクセスするか、すべてのパスワードを簡単に盗むことができるようにその設定を操作する必要があります。もし、攻撃者がユーザーのデバイスにアクセスできたら、もうほとんどゲームオーバーです。ハッカー（またはマルウェア・プログラム）は、ユーザーがパスワードを入力または使用する際に単純にキーロギングするなど、他のさまざまな方法を用いてパスワードの一部または全部を取得することができます。

また、パスワード管理ツールのソフトウェアの脆弱性を悪用しようとする攻撃もありますが、ベンダーが既知の欠陥に迅速にパッチを適用し、ユーザーがそのパッチを迅速に適用する限り（ほとんどのパスワード管理ツールのプログラムは自動更新）、それは一瞬の、より小さな問題に過ぎません。ユーザーのパスワードは、パスワード管理ツールベンダーのクラウドネットワークに保存されることもあり、危険にさらされると、攻撃者はそこに保存されているすべてのパスワードにアクセスすることができます。これもリスクだが、ほとんどのパスワード管理ツールベンダーは、顧客の「パスワード保管庫」を自社のネットワーク内の安全性の高い場所に保管しようとしている。

※製品のバグで勝手にパスワードが消去されてしまう事例は経験があるため、必ずゴミ箱昨日のあるパスワード管理ツールを選ぶようにしています。

ですから、攻撃者がユーザーのデバイスにアクセスし、パスワード管理ツールにアクセスし、すべてのパスワードを盗むというのが主なリスクとなります。これは現実的なリスクです。実際に起きたという話も聞きますが、今のところ、それほどポピュラーな攻撃ではありません。将来、パスワード管理ツールが広まって誰もが使うようになれば、一般的な攻撃になるかもしれません。しかし、たとえそれが一般的な攻撃であったとしても、攻撃者やそのマルウェアがユーザーのデスクトップにアクセスできるようになった時点で、ほぼゲームオーバーになると私は考えています。彼らは何でもできるのです。パスワード管理ツールを攻撃してパスワードを盗むというのは、大きな問題のひとつに過ぎないのです。

誰もがパスワード管理ツールを使うべき理由

この大きなリスクにもかかわらず、誰もが自分のパスワードにパスワードマネージャーを使うべきだと思います。なぜなら、パスワードのリスクは、ユーザーが利用しているサイトやサービスから盗まれたパスワードと、推測されてハッキングされる弱いパスワードによるものだからです。米国国立標準技術研究所（NIST）や他のパスワードの権威によると、パスワードの最大のリスクは、関連性のないウェブサイトやサービスでのパスワードの再利用と、ユーザーがハッカーに予測される「パスワードパターン」を作成できることだそうです。

平均的なユーザーは、170を超えるサイトやサービスで使用するパスワードを4～7個持っていると言われています。これらのパスワードは、本来使用されるべきでない場所で、同じパスワードが使用されていることになります。問題は、ハッカーがあなたのウェブサイトの1つに侵入してパスワードを入手すると、他のサイトやサービスでもそれを使用できるようになるということです。1つ、または数個の侵害は、すぐにさらなる侵害の束につながるのです。これは、ソーシャルエンジニアリングに次ぐ、大きなリスクと考えられています。パスワード管理ツールは、このリスクを取り除くことができます。

パスワード管理ツールは、サイトやサービスごとに異なる、まったく関連性のないパスワードをより簡単に作成し、使用できるようにします。パスワード・マネージャーを使用すると、使用されているパスワードさえもわからなくなる可能性があります。これは、パスワードの最大のリスクの一つを取り除くものであり、これだけでもパスワードマネージャーは使用されるべきものです。しかし、それだけではありません。

パスワードマネージャーは、完全にランダムなパスワードを作成します。12文字以上の完璧にランダムなパスワードは、既知の方法では推測もハッシュクラックも不可能です。そして、その完全にランダムで安全なパスワードは、ウェブサイトやサービスごとに異なるものにすることができます。

ソーシャルエンジニアリングが最大のリスク

あらゆるパスワードの最大のリスクは、ユーザーがソーシャルエンジニアリングによってパスワードを盗まれることです。ソーシャルエンジニアリングによるパスワードの盗難は、成功したパスワード攻撃の約半分に関与しています。ほとんどのパスワード管理ツールでは、ツール内からサイトやサービスにログインすることができ、真の正規のサイトやサービスにのみユーザーを誘導します。これにより、最も一般的なパスワードソーシャルエンジニアリング攻撃を防ぐことができます。攻撃者は、不正なURLリンクを含むソーシャルエンジニアリングメールを送信し、偽の偽サイトに正規の認証情報を開示させようとするものです。

パスワード管理ツールの利点は、最大のパスワード攻撃（ソーシャル・エンジニアリング、推測/クラッキング、再利用など）を軽減することです。パスワードの専門家なら誰でも、この3種類のパスワード攻撃がパスワードのリスクの大部分を占めていると言うでしょう。そのため、誰もがパスワードマネージャーを使うべきであり、少なくとも単一障害点による大きなリスクと比較検討する必要があります。

パスワード管理ツールに信頼を寄せるか、あるいはユーザー自身に信頼を寄せるかは、あなた自身にかかっています。可能であれば、まずフィッシングに強い多要素認証(MFA)に移行してもらうようにしましょう。しかし、サイトやサービスがフィッシング防止MFAに対応しない場合は、パスワード管理ツールの使用を検討してください。パスワード管理ツールは、より多くのパスワード専門家によって日々推奨されるようになってきています。

出典：What About Password Manager Risks?

【悲報】トレンドマイクロ パスワードマネージャーの(自分の)データが消失

パスワード管理については、サイトごとに同じパスワードを使いまわすのではなく、異なるパスワードを設定するのが良い。

しかしサイトごとに異なるパスワードを使っていたら当然覚えられない。

そこで登場するのがパスワード管理ツールとなるのだが、自分はトレンドマイクロ社の「パスワードマネージャー」を使用している。

使い始めてかれこれ7年くらい経ち、細かいトラブルはあったものの、それなりにパスワード管理ツールとして利用できていた。

さすがに7年も使うとデータがたまってくる(その数約400弱)ため、最近データの断捨離を行った。

ここで事件が起きる。

パスワードマネージャーはブラウザ上で管理データの編集を行う。

削除するデータにチェックを入れ、最後に削除ボタンを押すだけのシンプルな処理なのだが、削除対象のデータ複数個所のにチェックを入れ、削除ボタンをクリックすると、しばらく反応が無い。

しばらく待ってからパスワードマネージャーにアクセスると、

すべて消えてる・・・・

とりあえず、サポートに問い合わせてみるか。

7年間パスワードマネージャーを使ってきて、ざっくりとしたアーキテクチャはイメージできているつもりだが、そこから想像するに、復旧は難しいのではと踏んでいる。

恐らく原因は管理画面の機能のバグと想定される。複数選択するときに何かが起きるとまとめて消してしまうのではないのだろうか？

パスワード管理ツールは、ツール自体からの情報漏洩は言語道断である。

一方で今回のようなツールの不具合で誤削除されてしまった場合の対策(利便性!?)も両立できていなければならない。

トレンド社パスワードマネージャーのうたい文句は

「あなたにかわって覚える、守る」

であるが、覚えてもらったものを忘れ去られてしまってはシャレにならない。

こういうインシデントが起きた製品は二度と使えないので、並行して、後継のパスワード管理ツールの検討を進めることにしよう。

後継のパスワード管理ツールを考える

トレンドマイクロのパスワードマネージャがデータ消失してしまったため、パスワードマネージャーの課題を踏まえて後継のパスワード管理ツールの選定を進める。

■有償か無償か

無償版でもいいやつがあるのかもしれないが、自分の大切な情報を預ける以上、必要な対価は払うべきである。

今回も有償版を軸に検討。

ただし、買い切りタイプではなく、月額ベースのサブスクリプションパッケージを検討する

■対応端末

メインはWindows OS(ノートパソコン)だが、ブラウザのアドオンで使えるようになっていれば利便性が上がる。

Chrome対応は必須。

あとはAndroidでも使えれば尚可

■バックアップ機能

必須だけど、サブスクリプションの場合、基本データはクラウド管理なので、あまり気にしなくてもいいかも。

ちなみにトレンドマイクロのパスワードマネージャーはオンライン環境では世代バックアップ等は無い。

PC版のアプリを使うことでデータのエクスポートが手動で可能となる（最近追加された機能だろうか？データ消失事件が起きて調べるまでこの機能のこと知らなかった・・・。）

■オフライン利用

これ、意外に重要。

■自動登録

ID/パスワードを管理ツール上でいちいち手入力していくのはかなり手間なので、自動登録機能はあったほうが良い。

ただ、半自動くらいでいいかな。勝手に登録していく機能だとかえってうざい。

登録のないサイトにアクセスした際に自動で検知して登録有無を確認してくれる感じがいい。

■自動入力

この機能もあると助かる。

ただ、勝手に入力せずに、入力前に確認ダイアログを出してくれるほうがいい。

同一サイトで複数アカウントある時、勝手に入力されると迷惑なのだ。

ちなみにトレンドマイクロのパスワードマネージャーはこの機能が弱い。

具体的には自動入力を期待しているのに、ツールが反応しないというケースがよくある。

■パスワードチェッカー

まー、あってもいいけど、無くても困らない。

パスワードチェッカーで引っかかったところで、サイトの制約上貧弱なパスワードにせざるを得ない時がどうしてもある。

■パスワードチェンジャー

いらない。

パスワードは各サイトごとに異なるものを設定すべきであるが、ある程度パターン化しておけばよいと考えている。

つまり、パスワード管理ツールにすべてを託すのではなく、基本パターンは自分で考え、補助的な位置づけでツールを使うのである。

パスワードチェンジャーなんか使って、トレンドのパスワードマネージャーみたいにデータ消失したら、ショックは図りえないものとなる。

以上、いろいろなチェックポイントがあるが、後はランキング記事等を参考に決めていけばよいと思う。

で、今回選定したのは、

1Password

カナダのスタートアップっぽい感じ。

パスワード管理ツールで検索すると大体ランキングされているので、大丈夫かと思ったのと、個人的に一番の選定ポイントは下記。

「削除されたパスワードも365日間までさかのぼって復元可能」

これが今回選定のポイント。

当然トレンドのパスワードマネージャーにはこんな機能は無い。

ちょっと(余計な)機能が多く、金額も高めだが、ま良しとしよう。

【参考】
https://wired.jp/2020/05/28/coronavirus-quarantine-start-using-password-manager/
https://my-best.com/2909
https://ranking.goo.ne.jp/select/9602

【転載】ブラウザにパスワード管理を任せるのはアリ？ ～ちなみにトレンドマイクロのパスワードマネージャーはデータ消失したのでおススメしません！！～

ブラウザにパスワード管理を任せるのはアリ？ 1PasswordやLastPassみたいな専用ツールのメリットは？ | ギズモード・ジャパン:

ウェブブラウザのパスワード管理機能が便利なので、最近はパスワードを考えたり覚えたりしなくなっちゃいました。でも、たまたまブラウザが使えない状況になると、ログイン画面で立ち往生することも。ほかの方法を考えた方が良いかな。

そもそもウェブブラウジング目的で開発されたウェブブラザですが、さまざまな機能が追加され、今やありとあらゆることに使われる万能ツールになりました。その機能の1つがパスワード管理です。推測されにくいパスワードを生成してくれたり、パスワード漏えいを警告してくれたりする機能まで追加された今、ブラウザを専用のパスワード管理ツール代わりに使うのはアリでしょうか。

ブラウザのパスワード管理機能をチェック

生活のあらゆる側面で各種オンラインサービスに頼り切っている現状を考えると、そうしたサービスへのログインを管理することの重要性は極めて高く、ブラウザのパスワード管理機能が日進月歩するのも当然でしょう。ウェブサイトのログイン情報をすべて記憶し、複数のデバイス間で同期してくれることなどは、あって当然の機能ですね。

｢Chrome｣｢Safari｣｢Firefox｣でアクセスしたサイトでオンラインアカウントを新規作成しようとすると、破られにくいパスワードとして、規則性がない文字列を提案してくれます（いずれ、このパスワード提案機能は｢Microsoft Edge｣にも搭載されるでしょう）。しかも、パスワード提案はこちらが何もしなくても自動実行されます。新しいサービスへログインしようとしているユーザーに気づいたブラウザが、パスワード入力用フィールドへ候補を自動的に表示します。

Image: Google Chrome

ChromeとSafariはパスワードのチェック機能があり、何度も使い回していると警告したり、推測されにくいと評価したりしてくれます。また、Google（グーグル）のパスワード チェックアップにアクセスするか、macOS版Safariで環境設定メニューのパスワードタブを選ぶか、iOSの設定からパスワードとアカウントを開くかすれば、安全確認しておいた方がよいパスワードを調べられます。パスワードを変える必要が生じた場合に備え、変更用リンクも表示されていて便利です。

FirefoxとChrome、そしてmacOS Big SurおよびiOS 14のSafariは、パスワードが流出したかどうかをパスワード管理画面内で確かめられます。さらに、Firefoxはブラウザと独立して機能するデータ侵害確認ツールも提供していて、Firefox Monitorにメールアドレスを登録しておけば、自分のデータが流出すると知らせてくれます。

モバイルOSのメーカーでもある Google （グーグル）とApple（アップル）は、こうしたパスワード管理機能をそれぞれAndroidとiOSにも入れています。Googleの対応しているAndroidアプリであれば、Googleアカウントをユーザー認証に使って、Chromeに保存しておいた情報で自動ログインできるのです。保存済みパスワードを確認するには、ブラウザでパスワード マネージャーにアクセスしましょう。Androidの設定画面からGoogleを選んでGoogle アカウントの管理をタップし、上部のセキュリティへ移動してパスワード マネージャーを開く方法もあります。

Image: iOS

一方のiOSは、以前から、アプリ用パスワードを保存したうえでユーザーのApple IDと連携させてきました。iOSでアプリにログインしようとすると、SafariやiOSにデータが保存されていれば、以前使ったログイン情報を使うかどうか表示されます。保存済みパスワードなどの情報は、iOSの設定でパスワードとアカウントを開くと確認でき、必要に応じてここで修正も可能です。

このように、ウェブブラウザは多くのパスワード管理機能を備えていて、どんどん機能が追加されています。これでもアカウント情報の安全確保には十分ですが、専用ツールには、もう少しいろいろな機能が備わっています。

専用パスワード管理ツールのできること

パスワード管理に特化したツールは、枚挙にいとまがない状態です。以前から使われてきた1Password、Bitwarden、Dashlane、Keeper、LastPassなどだけでなく、新しいツールもあれやこれや登場し続けています。ここでは各ツールの機能や価格は比べず、ブラウザのパスワード管理機能にはない、専用ツールのメリットを紹介します。

まず、環境を問わず使えることが、専用ツールのもっとも重要なメリットでしょう。使っているすべてのスマートフォン、ウェブブラウザ、PCで情報が同期され、Windows、macOS、iOS、Androidのあいだでパスワードが共有され、特定のデバイスに縛り付けられません。

Image: Dashlane

2つ目のメリットは、家族で使いやすい点です。家族用の料金プランが用意されていることもありますし、パスワードの共有にも適しています。たとえば、あるサイトを子供に使わせる場合や、あるアプリのログイン情報を同僚と共有する場合、専用ツールを使った方がはるかに簡単です。ログイン用パスワード以外にも、防犯システムの解除コードや、Wi-Fiパスワードなどの保存と共有にも使えます。

住所、クレジットカードやパスポートの情報など、大切なデータをたくさん保存しておけるこの機能は、パスワード管理ツールの付加的なメリットです。確かに、ブラウザやモバイルOSにも名前や住所といった情報を自動入力する機能はあります。ただし、パスワード管理ツールの方が、保存できる情報の種類も活用方法も上回っています。

これは、ほかの機能にも当てはまることです。たとえば、強力なパスワードを新規生成する機能はブラウザにも専用パスワード管理ツールにもありますが、専用ツールは生成するパスワードの長さや使える文字種を指定できるなど、操作可能な範囲が広くなっています。これ以外の機能でも、専用ツールはコントロールの幅が広く、選択肢が多い傾向があります。

Image: 1Password

パスワード管理ツールはパスワード管理に特化したツールであるのに対し、ChromeやSafari、Firefox、Edgeは機能盛りだくさんを目指している、という違いがポイントです。グーグルやアップルがパスワード管理とセキュリティを軽視しているわけではないでしょうが、ことソフトウェアに関しては、専用ツールがあるなら使ってみるのが吉です。

専用ツールは余計な道具を増やすようにも感じられるかもしれませんし、月々の支払いが多少増える可能性もあるでしょう。それでも、私たちの経験上こうしたツールを導入する価値はとても大きいと思います。ウェブブラウザの管理機能がどんどん改良されているのも事実ですが、パスワードをしっかり管理したいのであれば、専用ツールが答えです（ちなみに、ブラウザに保存されているログイン情報は、専用ツールにインポートできるはずです）。

パスワード管理ツールを使うべき理由（転載）～パスワード管理ツールは必要。でも、トレンドマイクロのパスワードマネージャーはオススメしません（自分、データ消失しましたので( ﾉД`)ｼｸｼｸ…）～

パスワード管理ツールを使うべき理由:

アカウント管理を安全かつ快適に行うために

インターネット上には、ショッピングサイトやSNS、Webメール、クラウドストレージなどの便利なサービスがあふれています。サービスの多くは利用登録が必要で、個人情報を求められるケースもあります。さて、みなさんは登録したサービスのアカウントをどのように管理していますか。

トレンドマイクロの調査*では、インターネットサービス利用者の約6割が複数のサービスにおいて1～3種類のパスワードを使い回していることがわかりました。また、多くは「異なるパスワードを考えるのが面倒」「異なるパスワードを設定すると忘れてしまう」などの理由から、セキュリティ上のリスクを認識しながらも同じパスワードを使い回しているようです。
*2020年8月実施インターネット調査 「パスワードの利用実態調査 2020」、有効回答数515

図：パスワードの使い回しは全体の85.7%、特に1～3種の使い回しが56.7%と大半を占めている(N=515)、単一回答

図：パスワードを使いまわす理由(N=441)、複数回答

複数のサービスで同一のIDとパスワードを使い回していると、どのようなリスクが生じるでしょうか。たとえば、フィッシング詐欺やサービス事業者へのサイバー攻撃などをきっかけにIDとパスワードの組み合わせが流出してしまうと、各種サービスのアカウントを芋づる式に乗っ取られてしまう可能性があります。

アカウントを安全に管理するポイントは、サービスごとに異なるIDとパスワードの組み合わせを使用することです。第三者に推測されにくいパスワードを設定することや、サービス事業者から提供されるワンタイムパスワードなどの二要素認証機能を併用することも重要です。しかし、利用するサービスの数が増えてくると、これらのポイントを踏まえたアカウント管理は思いのほか負担になります。複雑なパスワードを作ったり、メモを参照しながらフォームに入力したりするのも面倒です。

そのような場合は、パスワード管理ツールが便利です。これを使えば、利用中のサービスと、IDとパスワードの組み合わせを安全に管理することが可能です。たとえば、トレンドマイクロのパスワードマネージャーでは、事前に登録したマスターパスワードでログインし、目的のサービスページに移動すると、入力フォームにIDとパスワードが自動入力されます。このため、1つのマスターパスワードさえ厳重に管理すれば、ほかのサービスのIDとパスワードを覚える必要がありません。また、他のサービスで登録済み、あるいはネット上に流出しているパスワード、脆弱なパスワードを指摘し、新たに強固なパスワードを自動生成してくれます。それを利用すれば、少なくとも「異なるパスワードを考えるのが面倒」「異なるパスワードを設定すると忘れてしまう」といった理由でのパスワードの使い回しを防げるはずです。アカウント管理の煩わしさを解消したい方はパスワード管理ツールを試してみましょう。

ZOZO、全社にパスワード管理ツール「1Password」導入（転載）～1Passwordの企業への導入事例は珍しいかも～

パスワード管理ツール1Passwordの全社導入から運用まで - ZOZO Technologies TECH BLOG:

 パスワード管理ツールの必要性

パスワード管理の基本は、強固なパスワードを作成し使いまわしせず、なるべく漏洩しないようにすることが挙げられると思います。ありがちなものとしては、以下のような方法があります。

• 付箋や紙に書いて管理
• PCのメモ帳で管理
• Excelで管理
• ブラウザに保存

ですがセキュリティや管理・運用のしやすさを考えると、上記の方法よりも専門ツールであるパスワード管理ツールを利用する方が優れています。

「パスワードなんてブラウザに保存できるからそれで事足りる」と思う方もいらっしゃると思います。しかし会社としてパスワード管理の基盤がないと、チームごとに管理方法が違ったりパスワードの共有に平文が用いられてしまったり様々なリスクが生じます。

パスワード管理ツールは、便利なだけではなくそういった問題を解決できるので、利用者側、管理者側ともに非常に有益なものと言えます。

パスワード管理ツールの選定

パスワード管理ツールは色々あります。

• 1Password
• LastPass
• パスワードマネージャー
• Keeper
• True Key
• Dashlane
• Bitwarden

ざっと調査しただけで、上記が挙げられます。

上記の全てを比較したわけではありませんが、どれも基本的な機能としては大差ありません。例えば下記のような機能があります。

• 複雑なパスワードの自動生成
• ID・パスワードの自動入力
• パスワードの強度や使い回しのチェック
• 多要素認証
• ID・パスワードの共有

強度の高いパスワードを生成でき、利用者は自身のマスタパスワードだけを覚えれば他のパスワードを覚える必要がなく、保存された情報は暗号化され安全に共有できます。もちろんパスワード以外のセンシティブな情報も保存できます。パスワード管理ツールはそのような機能を備えたツールです。

1Passwordの優位性

弊社では主に以下の点で、1Passwordを採用するに至りました。

Secret Keyの仕組みがある

1Passwordにはマスタパスワードに加えてSecret Keyがあり、たとえマスタパスワードが漏洩したとしても、Secret Keyを知らなければアクセスできません。マスタパスワードはデバイス上のデータを保護し、Secret Keyはデバイスからデータを保護してくれるとのことで、この二段構えの構成は安心できます。

グループ単位で管理できる

ビジネスプラン以上ではユーザグループを作成できます。グループにユーザを追加し、グループを保管庫（Vault）に紐付けることで権限付与が可能です。

CLI（コマンドライン）ツールがある

1Passwordにはコマンドラインツールがあります。コマンドラインツールに対応していることは、運用の自動化を考慮する上で重要な要素と捉えています。

例えば以下のようなことができます。

# ユーザ招待
op create user <メールアドレス> <氏名>
# ユーザの停止と再開
op (suspend | reactivate) <user>
# ユーザ削除
op delete user <user>
# 一覧取得
op list (users | groups | vaults | items | documents | templates) [--vault <vault> | --group <group>]

レポーティング（パスワード漏洩チェック）機能がある

1Passwordにはドメイン侵害レポートがあります。自社が管理するドメインを登録しておくと、漏洩に巻き込まれたアドレスを見つけることができます。このレポートを元にしてパスワードの変更をユーザへ促すことができます。

導入にあたっての課題

課題は大きく3つありました。

• プランの検討
• SSO（シングルサインオン）が可能か
• プロビジョニングが可能か
  
  

プランの検討

1Passwordのビジネス向けプランは3つあります。

• Teams
• Business
• Enteprise

結論から言うと弊社はBusinessプランを選択しました。

Teamsプランでは、詳細な権限管理ができないため、全社的に導入するとなると機能不足でした。

Businessプランでは、より詳細な権限管理からログ管理やレポート閲覧まで豊富な機能を備えているため、SaaS製品としての機能が十分であると判断しました。また、Azure Active Directory、Okta、OneLoginと連携できるのもこのプラン以上になっています。弊社としては、グループで管理できることが運用上大きなメリットでした。ユーザ単位で権限管理をするのは運用が煩雑になると思います。

Entepriseプランでは、上記の機能に加えて専用窓口を設けてくれたり、導入にあたりトレーニングを受けられるなどのメリットがあるそうです。ですが弊社ではそこまでのサポートは必要なく、Businessプランで利用できる機能さえあれば十分でした。

SSO（シングルサインオン）が可能か

弊社のシステム選定基準では、基本的にSSOが利用できるシステムを選定しています。しかし、1Passwordの仕様上SSOは不可でした。SSOできないことは利用者目線に立つとある程度の不便さはあります。ですが1Passwordの認証の堅牢性の土台となっているSecret Keyの有用性とのバランスを考慮して、SSO不可であることを許容しました。

プロビジョニングが可能か

プロビジョニングを行うためには1Password SCIM bridgeを構成する必要があります。

• Google Cloud Platform Marketplace
• Docker, Kubernetes or Terraformで構築

SCIM bridgeサーバを構築するために、主要なクラウドサービスにおいて試算を行いました。しかし、現状ではコストメリットが無さそうだったためプロビジョニングの導入は一旦見送りました。会社の規模拡大に合わせ、再度検討したいと思っています。プロビジョニングの代わりに、前述のコマンドラインツールを活用し運用することにしました。

実際の運用

全社導入前に一部の部署で1Passwordを先行利用していたのですが、その時はグループを利用しておらずユーザを保管庫に直接割り当てる運用をしていました。しかしこれでは統一性もなく管理が煩雑だったため、グループベースで管理するように運用を変更しました。ユーザからの利用申請も、kintoneを用いたワークフローで管理し、保管庫とグループの一覧はスプレッドシートにて管理することにしました。

スプレッドシートで管理した理由は2つあります。

1つはグループや保管庫、グループ内メンバーの一覧と、グループがどの保管庫と紐付いているかをユーザが確認できるようにするためです。ワークフロー申請時にどのグループの権限を変更するかなどを記載してもらう際に必要な情報だからです。

もう1つは各保管庫の運用管理者を把握し、ワークフローにおける承認ルートにその保管庫の運用管理者を入れるためです。1Passwordの管理者からでは、各保管庫が実際にどういった使われ方をしているのか分かりません。そのためメンバー追加などの依頼時に各保管庫の運用管理者の承認を確実に得た状態で、管理作業を行っています。

導入効果

パスワード管理の理想的な運用基盤を構築できたことが大きな効果でした。人に依存した運用ルールで安全にパスワードを管理することは限界があります。パスワード管理ツールを用いることで、半強制的にガイドラインに沿った運用へ切り替えることができました。また冒頭で記載した通り、パスワードを平文で保存することはセキュリティリスクになります。そのためパスワードを暗号化できるパスワード管理ツールは、セキュリティの監査に対する解決策の1つとしても有効です。

分かりやすい効果としては以下のようなものがありました。

共有アカウントのパスワードを安全に共有できる

様々なパスワードを覚える必要がなくなり、パスワードジェネレータによって強力なパスワードの生成が容易になりました。例えば自分が共有しているパスワードを変更したとしても、1Password上のパスワードさえ更新されていれば、他の人に新しいパスワードを都度共有し直す必要はありません。利用者は自分のマスタパスワードだけを覚えていればよく、パスワードが変更されたことを知らずともログインできるからです。

また、セキュアにID・パスワードの共有が可能になり、閲覧権限の範囲をコントロールし易くなりました。例えば範囲がチームをまたぐような場合でも、専用のグループを作って該当者を入れてそのグループに保管庫の閲覧権限を割り当ててあげればよいわけです。

多要素認証のワンタイムパスワードの代替

さらに便利だと思ったのは、多要素認証で使用するワンタイムパスワードを1Password上に保存できることです。Authenticator系のアプリと同じように秘密鍵を1Passwordに保存することで、1Password上にワンタイムパスワードが表示されるようになります。

通常、多要素認証ではSMS（ショートメッセージサービス）やAuthenticator系のアプリでワンタイムパスワード（認証コード）を得るため必ずモバイル端末が必要になってしまいます。多要素認証を1Password上に保存すれば端末に縛られない運用が可能になります。

具体的な手順を解説します。

1. まずは設定したいシステムの設定画面で、多要素認証の追加（もしくは変更）を実行し、その手順の中で秘密鍵を取得
   
   Authenticator系のアプリで読み取るためのQRコードが発行される画面などで、秘密鍵を表示できる箇所があると思いますので調べてみてください。※各システムによって異なります
   
   
2. 秘密鍵を入手したら1Passwordのアイテム編集に移動
   
   
3. 1Passwordのアイテム編集画面でラベルの欄にある…（三点リーダー）アイコンを選択
   
   
   
   
   
4. ワンタイムパスワードを選択
   
   
   
   
   
5. ワンタイムパスワードの欄に、先程入手した秘密鍵を貼り付けて保存
   
   
   
   

以上の手順でワンタイムパスワードが表示されるようになりました。元の秘密鍵を入手した画面（手順1）に戻り、6で表示されているワンタイムパスワードを入力して認証し作業は完了です。

まとめ・残課題

実際に導入してみて、パスワード管理ツールに慣れていないユーザからはいまいちよく分からないツールだと思われてしまう印象がありました。そのためマニュアルとは別に使い方を解説する動画を制作し、ユーザがより理解しやすいように工夫しました。

パスワード管理ツールは入れて終わるツールではありません。例えばパスワードをブラウザへ保存してるユーザに対して1Passwordへの移行を促す必要があります。また、ドメイン侵害レポートをチェックし、漏洩したパスワードを使用しているユーザにパスワードの変更を呼びかけることも重要です。活用方法や正しいパスワードの管理方法などは都度啓蒙していく必要があると感じています。

パスワード管理ツール「LastPass」に最後に使ったパスワードが漏れるバグ

複数のIDやパスワードの管理を手助けしてくれるパスワード管理ツール「LastPass」のブラウザ拡張機能に、最後に利用したサイトの認証情報が漏れてしまうバグがあることが報告されました。

攻撃者がバグを悪用したクリックジャッキングを行うと、LastPassを用いて最後に入力したサイト認証情報が抜き取られる恐れがあるとのこと。

認証情報の管理って、ザルな人は同じパスワードを使いまわす一方、
真剣に考える人は恐らくパスワード管理ツールの利用にたどり着くのではなかろうか？

パスワード管理ツールを使うメリットは幾つかある。

まず、サイトごとにパスワードを変えられる点。

頭でパスワードを記憶するのは数パターンが限界。

そこで、パスワード管理ツールに記憶させる。

そうすると、自分で記憶する必要がなくなるので、各サイトごとにパスワード生成が可能となる。

そうすると、どこか1か所でパスワードがハッキングされると、他のサイトでも芋づる式に不正アクセス(パスワードリスト攻撃)を許してしまう事態を回避できる。

各サイトごとにパスワードを設定すると、意外なメリットが出てくる。

それは、万一パスワードが漏洩した際、どのサイトから漏れたのかが分かるようになる点。

以前パスワードが本文に記載された脅迫メールが送られてきたのだが、逆のその記載パスワードからどのサイトから漏れたのかを知ることができた。
（ただ、当然のごとく、漏洩元は漏洩を否定するのだが・・・・）

パスワード管理ツールのバグで情報が漏洩すると洒落にならないので、自分はセキュリティ企業であるトレンドマイクロ社の「パスワードマネージャー」を使用している。

※月額154円なので、何気に「LastPass」より安かったりする。。。

結構便利だが、若干クセのあるツールで、保存できない形態のパスワード(銀行系にある取引パスワードとか)もあるため、フリーソフトの「ID Manager」をサブで併用している。

2020年に最もよく使われたパスワードは？ / The worst passwords of 2020 show we are just as lazy about security as ever（転載）

2020年に最もよく使われたパスワードは？

今年もまた、この12カ月間で、パスワードのセキュリティが改善されたかどうかを確認すべき時期がやってきた。

　2015年を振り返ると、もっともよく使われている最悪のパスワードの中に「123456」や「password」といったものが含まれていた。しかし5年経った今でも、こうした例はなくなる気配がない。

　NordPassとそのパートナーは、2020年の情報漏えいインシデントで流出した2億7569万9516件のパスワードを分析した。同社は、出現頻度が高いパスワードは極めて容易に推測できるものが多く、こうしたパスワードを使用しているアカウントは数秒で破られてしまう可能性があると述べている。「ほかに同じものがないパスワード」だと考えられるものは、全体の44％にすぎなかった。

　パスワードマネージャーを提供している企業であるNordPassは米国時間11月18日、パスワードセキュリティの現状がうかがえるレポートを発表した。頻度が高かったパスワードの上位に来たのは、「123456」「123456789」「picture1」「password」「12345678」だった。

　これらのパスワードは、総当たり攻撃で破るのに約3時間かかる「picture1」を除けば、どれも辞書攻撃を行うスクリプトなどを使って数秒で破れるものばかりで、人間でも推測できるレベルのものだった。

　200件強のリストの中には「whatever（どうでもいい）」というパスワードもあった。いまだに強力でクラックしにくいパスワードを使うつもりがない人が多いことを考えれば、これはパスワードセキュリティの現状をうまく表したフレーズだといえるかもしれない。リストには他にも、「football」「iloveyou」「letmein（Let me in、自分を中に入れてくれの意）」「pokemon」などのパスワードが含まれていた。

　NordPassのデータセットによれば、2020年のもっとも頻度が高かったパスワードのトップ10は以下の通りだ。

　パスワードを選ぶ際は、キーボード上で隣り合っている文字や数字を並べるなどの単純なパターンや繰り返しは避けるべきだろう。大文字や記号、数字などを意外な場所に入れることも効果的だ。また、どんな場合でも誕生日や名前などの個人情報をパスワードに使うべきではない。

　ベンダー側でも単純な組み合わせはユーザーのプライバシーやセキュリティの守る上で役に立たないことを意識すべきだが、ユーザー側でも、自分のアカウントを責任を持って守る必要がある。

【転載】CIS パスワードポリシーガイド。パスフレーズ、監視など - CIS

CIS パスワード ポリシー ガイド: パスフレーズ、監視、その他 - CIS:

ホーム • リソース • ブログ • CISパスワードポリシーガイド:パスフレーズ、モニタリング、その他

それらを愛するか、それらを嫌うが、パスワードは間違いなく時間テストされ、不完全な 正しく使用された場合、サイバー攻撃から組織を保護することができるユーザー認証のための方法でした. しかし、組織のパスワード ポリシーを本当に有効にするには、不正アクセスを防止するための追加の防御戦略を含める必要があります。

新しいパスワード ポリシーの標準は、現実世界の攻撃データを活用し、それを 、ユーザー 、パスワードの作成と記憶を容易にするという 2 つの主要な原則に基づいています。

組織は、これらの新しい標準に準拠するために、更新されたツールとポリシーを採用する必要があります。これには、パスワード作成、多要素認証 (MFA)、アカウント ロックアウト、およびその他の保護対策に対する新しいアプローチが含まれます。

2020 年 7 月に公開された CIS パスワード ポリシー ガイドでは、この新しいパスワード ガイダンスを 1 つのソースに統合します。このわかりやすいガイドでは、ベスト プラクティスを提供するだけでなく、推奨事項の背後にある理由を説明します。最も一般的なパスワード ハッキング手法に関する情報と、攻撃を防ぐためのベスト プラクティスの推奨事項が含まれています。このガイドは、CIS ベンチマークと CIS コントロールの開発に使用される、コミュニティ主導のコンセンサス ベースのプロセスを通じて開発されました。

ユーザーがパスワードを作成して記憶するのを支援するために、このガイドには次のようなヒントが用意されています。

• パスワードの代わりに「パスフレーズ」を使用する   -- 長さは、良いパスワードの最も重要な側面です。しかし、一つの長い単語は覚えておくのが難しいだけでなく、綴るのも難しいです。CapeCodisaFunPlaceのような多くの単語を含むパスフレーズは、覚えやすく、クラックするのが難しくなります。

• 個人情報に関連する言葉を使用しないでください  - 攻撃者がインターネット上であなたについて調べることができるものを避けてください。あなたは地元のマスタングカークラブの会長である場合は、パスワードとして「マスタング」を使用しないでください。

• 辞書語の使用を制限する:  一般に、敵対者がパスワードを攻撃する方法は、最初に辞書内の単語のさまざまな組み合わせを試みることによって行われます。これは多くの言葉ですが、可能なすべての文字の組み合わせを試すよりもはるかに少ないです。パスフレーズに非辞書代替を使用する:  Th3F0rdMust@ngis #1

このガイドには、パスワードおよびアクセスシステムの管理責任者のためのオプションも含まれています。

• 多要素認証 (MFA)  -- MFA (2 要素認証 (2FA) とも呼ばれる) を使用すると、ユーザーはアカウントにログインする際に 2 つ以上の evidence  を提示できます。MFA は、現在市場で入手可能な最も安全なユーザー認証方法であり、ユーザビリティへの影響は最小限です。

• 提供パスワードマネージャ - パスワードで作成されたシステム生成パスワード managerは、人間が作成したパスワードよりもはるかに強力です。しかし、ユーザーは結果を覚えていないでしょう:   GHj *65%789JnF4$#$68IJHr54^78 . パスワードマネージャーはユーザーのパスワードの保存と管理を担当します。
• より高度なアクセス ロックアウト手法を使用する -- 5 回連続して失敗した後に一時的なロックアウト(15分以上)を強制するか、ログインスロットルの失敗と組み合わせてログインの監視に時間を費やしたりすることは、パスワードだけに焦点を当てるよりもはるかに効果的です。

「CIS パスワード ポリシー ガイド」には、さらに詳しい推奨事項が記載されています。これには、次のようなものがあります。

• システム・ベースのパスワード作成を支援
• 役に立つポリシー
• 広範な参照

これらの推奨事項を適用することで、組織が現在利用可能なパスワード管理に関する最新の制御を実装できるようになります。

著作権© 2020

インターネット セキュリティセンター®



ーー以下原文ーー

Home • Resources • Blog • CIS Password Policy Guide: Passphrases, Monitoring, and More

Love them or hate them, but passwords have undeniably been a time-tested and imperfect method for user authentication that can protect organizations from cyber-attacks if used correctly. To be truly effective however, an organization's password policy must include additional defensive strategies to prevent unauthorized access.

New password policy standards are based on two primary principles: leveraging real-world attack data and making it easier for users to create and remember passwords.

Organizations need to employ updated tools and policies to conform to these new standards. These include new approaches to password creation, multi-factor authentication (MFA), account lockouts, and other safeguards.

The CIS Password Policy Guide released in July 2020 consolidates this new password guidance into a single source. This easy-to-follow guide not only provides best practices but explains the reasoning behind the recommendations. It includes information on the most common password hacking techniques, along with best practice recommendations to prevent attacks. The Guide was developed through the same community-driven, consensus-based process used to develop the CIS Benchmarks and CIS Controls.

To assist users with creating and remembering passwords, the Guide offers tips, some of which are:

• Use "passphrases" instead of passwords -- Length is the most important aspect of a good password. However a single long word is not only difficult to remember, it's also difficult to spell. A passphrase containing a number of words, such as CapeCodisaFunPlace, is both easier to remember and harder to crack.

• Don't use words related to your personal information -- Avoid things that attackers can look up about you on the internet. If you are the president of the local Mustang car club, you shouldn't use “Mustang” as a password.

• Limit using dictionary words: In general, the way adversaries attack passwords is by trying various combinations of words in the dictionary first. This is a lot of words, but a lot fewer than trying all the possible letter combinations. Use non-dictionary alternatives for passphrases, for example: Th3F0rdMust@ngis#1

The Guide also includes options for those responsible for managing password and access systems:

• Use Multi-Factor Authentication (MFA) -- MFA, sometimes referred to as Two-Factor Authentication (2FA), allows the user to present two, or more, pieces of evidence when logging in to an account. MFA is the most secure user authentication method available on the market today, and has minimal impact on usability.

• Offer Password Managers -- System generated passwords created by a password manager are much stronger than human-created passwords. Users will likely not remember the result however, which will look something like this: GHj*65%789JnF4$#$68IJHr54^78. So, the password manager takes care of the storage and management of that password for the user.
• Use more sophisticated access lockout techniques -- Enforcing temporary lockouts (15 minutes of more) after five consecutive failed attempts, or using time doubling login throttling techniques, combined with failed login monitoring can be much more effective than focusing solely on the password

There are many more detailed recommendations contained in the CIS Password Policy Guide. These include:

• System-based assists for password creation
• Helpful policies
• Extensive references

Applying these recommendations will ensure an organization implements the most up-to-date controls regarding password management available today.