こんにちは、ヒーニョンです。
インターネットでは便利なさまざまなWebサービスがあります。それらを利用するたびにパスワードが増え管理に困ってきます。いったいパスワードをどう管理するのが正解なのかをこの記事では説明します。
結論から言うとパスワードは1つだけ強度の高い複雑なものを覚えましょう。
マスターパスワード
ただし1つのパスワードを使い回すのではありませんし、定期的に変更するというのではありません。
覚える1つのパスワードのことをマスターパスワードと名付けます。
このマスターパスワードは、パスワード管理ソフトを開くためだけに使います。あとはパスワード管理ソフトで各種サービスのパスワードを乱数で作成したものを使うので記憶する必要はありません。
パスワード管理ソフトの説明をする前に、マスターパスワードの作成方法について説明します。
マスターパスワードは絶対に誰にも教えないし、誰からも推測されない複雑なものがよいのですが、自分でも覚えられないものだと意味がありません。
作成のコツとしては次の4つ
- 自分だけ覚えやすい単語を組み合わせて長くする(最低8文字、目安14文字以上)
- 単語は大文字と小文字を含める(先頭を大文字など)
- 数値を含める(語呂合わせや、自分だけの記念日で生年月日は不可)
- 記号を含められるならなおよい
たとえば、「小学6年生で円周率(3.14)に興味をもち、高校生でパソコンを買った」という思い出をパスワードにすると
「Show6Pi3.14KowPC」なります。
16桁ありますし大文字小文字数値記号が入っていて、かなり強度が高いですし暗記できます。
パスワード管理ソフト
無料で有名なパスワード管理ソフトは「KeePass Password Safe Free」です。「キーパス」の名で親しまれています。
パスワード管理ソフトがはじめての方には、試してみるのに十分な機能がそろっています。
僕も昔キーパスを使っていましたが、今は有料ソフトの「1Password」を愛用しています。
理由は僕が使っていた当時、キーパスがマルチプラットフォームに対応していなかったためコピーペーストができず乱数で作ったパスワードを手入力するのに耐えられなくなって1Passwordに乗り換えました。
しかし、現在キーパスはいろいろなプラットフォームで動いています。キーパスの注意点はオープンソースで有志によって作られているのでデバイスによっては使い勝手が悪かったり、パスワードのデータをデバイス間で共有するのに別途ファイル共有サービスが必要だったりと、初心者には厳しい環境です。
有料の1Password
1Passwordが対応しているデバイスはWindows、Mac、iOS、Android、Linux、Chrome OSです。
国内ではソースネクストが代行販売しています。取り扱っているのがサブスクリプションの3年版です。セール等で販売価格は変わりますが、執筆時点では次のようになっています。
- 3年版 個人(1ユーザー用): 9,980円
- 3年版 ファミリー(5ユーザー用): 16,800円
1人1年当りを計算すると、個人が3,327円、ファミリーが1,120円です。
1ユーザーのライセンスがあれば、デバイス数には制限ありません。僕はMac mini、MacBook Pro、iPad Pro、iPhone、Android、ノートPC、自作PCと合計7台で運用しています。データ同期はアカウントで管理されているので全デバイスで同じデータが使えます。
3年後にライセンス期間が終わったらどうなるかというと、新しいパスワードを登録したり変更することはできませんが、すでに登録されたパスワードの利用は続けられます。
3年版には延長するという概念がないので、新しく3年版を購入し、データをインポートして継続して使うことになります。
1Passwordには買い切りのスタンドアロン版も販売されています。サブスクリプション版と比べると次のことに注意しましょう。
- OS毎に購入する必要がある
- データをローカルに置くか、異なるデバイスで同期するならクラウドサーバー(DropBox、iCloud)を自分で用意する
- メジャーアップデートはできない(再度購入し直す)
- 今後スタンドアロン版がなくなる可能性が高い
1Passwordがもっとも便利な点は、生体認証に対応していますのでマスターパスワードの入力を省き、指紋や顔認証で利用できます。(初回起動時マスターパスワードは必要です)
またパスワード以外のクレジットカード情報、銀行口座情報、運転免許証、パスポート、ライセンスキーなどの重要情報も保存して管理できるのも便利です。
Google Chromeのパスワード自動入力は安全なのか?
僕はブラウザにはChromeを使っています。他のブラウザにもあるのでしょうが、ログイン画面を表示すると自動的にIDとパスワードが入力されています。パスワード管理ソフトからのコピーペーストすら不要です。でも、これは安全なのでしょうか?
Googleの見解は「Chromeに保存されたパスワードへのアクセス制限はOSのユーザーアカウント単位で行われている」です。
そもそも、他人があなたのコンピューターに自由にアクセスできる時点で、Chromeのセキュリティ以前の問題だということです。
このことから、デバイスのログインするパスワードも重要なことが分かります。冒頭ではマスターパスワードだけ覚えようと書きましたが、デバイス用も覚える必要があります。
間違っても不特定多数が利用するデバイスでのパスワード利用は警戒すべきです。
定期的なパスワード変更
電子機器やネットワークサービスなどの認証に使用されるパスワードについて、「定期的な変更」を行うのが情報セキュリティの常識とされてきました。
僕はこれに違和感を感じていました。なぜかというと覚えられないからです。
案の定、パスワードを安易なものにし、連番にして運用するなど、セキュリティが悪化してしまったのです。
2017年に米国NISTが発行したガイドラインで明確に「パスワードの変更を任意(定期的)に要求するべきではない」としたのです。これを受けて日本では、総務省が「定期的な変更は不要」と明確に謳っています。
パスワード管理ソフトを使って乱数で作成したパスワードを1度設定しておけばよいのです。
しかし、パスワードが流出したときは直ぐに変更する必要があります。同じパスワードを流用していなければ漏れたサービスだけパスワードを変更すれば済みます。
問題はパスワードが漏れていないか知ることが難しいことです。ニュースで報道される情報を察知するのにも限界がありますし、小さな流出事件は毎日のように起こっていてニュースにもなりません。
調べる方法は次の記事を参考にしてください。
また1Passwordであれば、侵害されたウェブサイトを知らせてくれます。
2段階認証
ありがたいことに多くのWebサービスで2段階認証ができるようになってきました。積極的に利用すべきです。
運営側にお願いしたいのが、手入力させるような2段階認証は辞めて欲しいです。手間のかかるものは使われないだけです。驚くのが「2段階認証を設定してくれたら○○をプレゼント」など物で釣る行為をしている企業はセキュリティが悪いと言っているようなものなので、そのサービスを使うのは考え直した方がよいでしょう。
スマホでGoogle Authenticatorを使ってワンタイムパスワードを取得する方法だとスマホ以外では手入力になってしまいます。1Passwordならワンタイムパスワードを登録できます。Authenticatorに登録するときに発行されるQRコードから簡単に登録できます。
一度設定すれば、自動的にワンタイムパスワードを取得できるのでコピーペーストできます。
最近では2段階認証でも手入力が不要となる仕組みが増えてきています。Windows版ですが2段階認証を指紋認証で行う仕組みがあります。詳しくは次の記事を参考にしてください。
まとめ
パスワードの管理は資産や信用に関わる重要なことです。
絶対に分からないパスワード、自分では流出させない自信があっても、運営側が簡単に流出させてしまうのです。マスターパスワードは流出が絶対に許されないので、パスワード管理ソフト以外では使わないようにしてください。
ではまたヾ(^^へ)
コメント
僕は買い切りライセンスしかないことから1Passwordは使っていて、対応OSが増える度、メジャーアップデートする度に購入したので、合計するとかなりの金額を支払っています。
現在はライセンスがサブスクリプション制に移行していて、買い切り版が復活したりしなかったりですね。
昔から使っているユーザーにとっては、買い切り版を購入し、さらにサブスクリプションとなると裏切られた感じがします。
今から初めて買うなら、サブスクリプションは高いように感じますが、4OSで使うなら妥当な価格だと感じています。
僕は1passwordを使い始めてもう何年経つかわかりません。今は、1password7。以前は、ネットから直接買っていましたが現在はAppleStoreで買ったのでこのバージョンである限りはサブスクリプションはかかりません。
Google Chromeとの連携は俊悦なので、今後も使い続けると思います。