世界パスワードデーを記念してお送りした先日の記事では、パスワード設定時に避けるべき５つの間違いやすいポイントについて言及した。パスワード保護は私たちのデジタルライフにおいて、もはや基本とも言えるものだが、その行為自体について深く考える機会は多くないはずだ。年間で最も使用されたパスワードのランキング表で「12345」や「password」という文字列がランクインしていることは、その象徴ともいえるだろう。

ユーザーがシンプルなパスワードを好みがちなのは、複数のサービスを並行して利用していることに起因する。利用するサービスをGoogleやFacebookのアカウントに連携させない限り、基本的にはサービスごとに新規アカウントの作成が必要となる。しかし、それぞれのサービスで複雑なパスワードを記憶することは現実的ではない。そのため、結果として同じ単純なパスワードを使い回してしまう。だが、こうした状況は攻撃者によってパスワードを一度知られてしまえば、すべてのサービスが彼らの手中に収まったも同然だ。

これを回避するための対策として、パスワードマネージャーが用いられることになる。パスワードマネージャーは暗号化された領域へログイン情報を保管し、複雑なパスワードを生成するアプリケーションだ。各Webサービスのアカウントごとに、難解な文字列のパスワードを作成、保存、自動入力が容易にできるため、パスワード問題への有効な解決策となる。ユーザーは「マスターパスワード」と呼ばれるたった一つのパスワードを覚えておくだけだ。

パスワードマネージャーの種類

一般的によく使用されているパスワードマネージャーは、Webブラウザーでアクセス可能なクラウド型のものだ。利用する際にはどのパスワードマネージャーでも、一つの強力なマスターパスワードを作成する必要がある。各Webサービスにアクセスする際に使用されるアカウント情報は、すべてこのマスターパスワードで保護される。そのため、マスターパスワードの設定は慎重に行わねばならない。これは、クラウド型のパスワードマネージャーの場合、アカウント作成時に必要な一つのプロセスだ。

その先の手順は、パスワードマネージャーが実行してくれる。既存のアカウントをすべて追加することもできる。また、新しいサービスにサインインする際は、ユーザーが自分でパスフレーズを使うか、パスワードマネージャーの自動生成機能を用いて安全なパスワードを設定することもできる。サービスにサインインする際には、パスワードマネージャーが認証情報を自動入力するため、すぐにサービスを利用できる。

クラウド型のアプリケーションにパスワード管理を任せることに抵抗がある場合は、パスワード情報を自分のデバイスに保管するローカルホスト型という選択肢もある。すでに数多くのオープンソースツールが提供されており、デザイン面でやや劣るものもあるが、クラウド型同様に各種機能が搭載されている。

クラウド型やローカルホスト型のパスワードマネージャー以外の選択肢として、信頼できるエンドポイントセキュリティサービスに搭載されているパスワードマネージャーを用いる方法もある。これは認証情報の管理とセキュリティの確保の双方に適している選択だ。

パスワードマネージャーのメリットとデメリット

パスワードマネージャーには複数の選択肢があるが、一番利用されているのはクラウド型のものだ。クラウド型を使用する場合のメリットは、デバイスに関係なくパスワードを使用できる点だ。メジャーなツール（1Password、Dashlane、LastPassなど）のほとんどはスマートフォン用アプリを提供しており、デバイスを複数使用していても、大抵はそのすべてのデバイスに対してパスワードが同期される。デスクトップオプションやプラグイン機能を提供しているものもあり、基本的には使用デバイスをすべてカバーできる。

月額課金があるツールでも、基本機能は無料で提供されている。基本機能で足りない場合は、より多くのセキュリティ機能を備えた有料版にいつでも変更可能だ。

ここで一つ注意が必要になる。「卵を全部一つのバスケットに入れるな（一つのことにすべてを賭けるな）」ということわざが示すように、クラウド型パスワードマネージャーでは過去に問題が発生している。数か月前、メジャーな多くのパスワードマネージャーに存在する脆弱性を研究者が発見した。Android用アプリではフィッシング攻撃に対する脆弱性が見つかり、他のアプリではマスターPINの入力が際限なく試行可能になっていた。

そして、肝に銘じておくべき重要な点がある。データがクラウドに保管されているということは、情報漏えいやハッキング被害が発生すると、攻撃者は大量の情報をダウンロードできるということだ。そして、そのダウンロードされたデータの中に自分のアカウントが含まれている可能性がある。万一、このような事態に陥れば、アプリベンダーの強力なデータ暗号化と、自身のマスターパスワードの強度に頼るほかはない。そして、このような意識を持つことこそが、自分のデジタルライフを守るための要であることを忘れてはならない。

パスワードが盗まれた！？そのような時に試したいサービス「Have I Been Pwned」

他のサービスを利用する時と同様、基本的な注意を怠らないようにしたい。信頼できる第三者機関が発行したサイバーセキュリティに関するブログやレビューに目を通し、利用しているパスワードマネージャーに関する脆弱性の報告があるかを確認することも重要だ。さらに、セキュリティの確保のために、パスワードマネージャーベンダーが導入しているすべてのセキュリティ対策に関して、熟読し、理解、適用しなければならない。

ローカルホスト型のオープンソースアプリケーションの場合、特別なパスワード要件に応じたパスワード生成が可能なものがある。例えば、KeePassはUSBキーに対応している。また、KeePassをはじめとするオープンソースアプリケーションでは、コア暗号化やセキュリティコードに対するセキュリティ監査の結果を調べることもできる。

ローカルホスト型のパスワードマネージャーに関しては、デメリットに思える点が反対にセキュリティを強化している場合がある。特定の一つのデバイスで使用するため、他のデバイス全体に同期させることはできない場合もあるが、サイバー犯罪者からすればターゲットを絞り込まなければならなくなるため、狙いを定めにくくなる。ただし、不正アクセスを行う方法として、キーロガーツールをデバイスに潜入させるような方法もある。このような方法を回避するために有効な対策は、エンドポイントセキュリティサービスに含まれるパスワードマネージャーの利用だ。

一方で、デバイスの紛失や不具合が発生した場合は、そこに保管したすべてのパスワードにアクセスできなくなる点に留意しなければならない。常にバックアップを取り、万一の場合に備えておく必要がある。これはオープンソースアプリケーションにもあてはまる。クラウド型の場合は、別のデバイスからもアクセスできるため、デバイスの紛失による影響はローカルホスト型に比べれば小さくなる。

おわりに

パスワードを管理する必要性があるという点では誰もが同じではあるものの、何を優先させるかは人によって違いがあるはずだ。したがって、自分のニーズに最適なツールがどれなのかを明確にしておく必要がある。パスワードマネージャーを選ぶ際には、最低でも下記の項目は確認しておこう。

• そのサービスでは、データがどのように保管されているか？
• 使用するデバイスに何らかの問題が発生した場合に、データの復元が可能か？
• セキュリティを高めるための追加オプションがあるか？

パスワードマネージャーは慎重に選び、マスターパスワードは推測しにくいものを厳重に管理しよう。セキュリティをさらに強化するなら、自分のアカウントすべて、あるいはパスワードマネージャー自体に対して、認証要素をさらに一つ追加するという選択肢もあることは頭に入れておくといいだろう。