「LastPass」などのWeb版のパスワード管理ツール、人気があり、以前から使いたいと思っていました。しかし、登録したパスワードが自分の知らないところに保存されるので、何か不安で利用するのをためらっていました。
なお、2014年07月17日発表の記事によると、米カリフォルニア大学バークレー校の研究チームが、「LastPass」などの代表的なWeb版のパスワード管理ツールにも欠陥があると報告しています。
また、2016年01月19日発表の記事によると、米セキュリティ研究者が、「LastPass」の欠陥を発見し、フィッシング詐欺攻撃で、LastPassに保存された全パスワードが盗まれる危険があるとのこと。
やはり、Web版のパスワード管理ツールにも問題があるようです。どんなシステムにも、「100%安全なシステムは無い」という前提で、活用方法を考えたら良いですね。
なお、パスワードが増え管理が大変だから、それを一カ所で管理し、いつでも簡単に使えるようにしよう・・・というのがWeb版のパスワード管理ツールです。
では、一カ所に管理・保管されたパスワード、本当に悪用されたり、盗まれたりしないの?と疑問になります。このような不安や疑問を持っていたら、2014/07/17記載の下記の記事に、『Web版のパスワード管理ツールに潜む危険性、研究者が指摘』とありました。
Web版のパスワード管理ツールに潜む危険性、研究者が指摘 - CIOニュース:CIO Magazine
http://itpro.nikkeibp.co.jp/atcl/idg/14/481709/071700003/
米カリフォルニア大学バークレー校の研究チームが、Web版のパスワード管理ツールのセキュリティを調査し、懸念を指摘しています。今回調査したパスワード管理ツールは、「LastPass」「RoboForm」「my1login」「PasswordBox」「NeedMyPassword」の5種類。いずれも人気のあるサービスです。
研究チームによると、調査した5種類のツールすべてで欠陥や不備が見つかったそうです。全体として、あまりに多様な脆弱性が見つかったことから、パスワード管理ツールがセキュリティに関して失策を犯していると研究チームは捉えているようです。
追記:2016年01月19日
パスワード管理のLastPass、フィッシング攻撃でパスワード流出の恐れ - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1601/19/news053.html
パスワード一元管理サービス「LastPass」のユーザーにフィッシング詐欺攻撃を仕掛けて、LastPassに保存された全パスワードなどの情報にアクセスできる手段が発見されたと、米セキュリティ研究者のショーン・カシディ氏が発表。
LastPassは1月18日、この発表を受けてフィッシング詐欺防止のための対策を講じたことを明らかにしたが、カシディ氏はこの対策について、「これでLostPass問題の大部分は緩和されるものの、完全に排除できるわけではない」と評しているそうです。
追記:2015年06月16日
パスワード一元管理のLastPassにハッキング、情報流出も - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1506/16/news050.html
米LastPassは6月15日、LastPassアカウントの電子メールアドレスや認証ハッシュなどがハッキングされたと発表。流出したのはアカウントの電子メールアドレスやパスワードリマインダー、ユーザーごとのソルト、認証ハッシュなど。
一方、暗号化されたユーザー保管庫のデータが盗まれたり、ユーザーのアカウントに不正アクセスされたりした痕跡は見つかっていないと強調。保管庫に保存された他のWebサイトのパスワードも無事だったということです。
でも、やはり、不安ですよね。パスワードは、やはり自分自身で保管するのが良いかもしれません。
■
■ 100%安全なシステムを構築することは不可能、Web版のパスワード管理ツールは不安
■
以前聞いた話に、「100%完全なソフトを作ることは不可能」というのがありました。人間がソフトを作り管理している以上、「100%安全なシステムを構築することは不可能」だと思います。
「LastPass」「RoboForm」など、確かに便利なパスワード管理サービスですが、このようなシステムも100%完全ではなく、不備や欠陥は存在すると考えたら良いと思います。
なお、パスワード管理サービス以外のクラウドサービスも同じで、必ず不備や欠陥は存在し、100%安全なシステムはないと思います。
しかし、Webサービスなどのクラウドサービスは、便利な面もたくさんあります。
「100%安全ではない」という前提で、例えば、インターネットには暗号化して保存するとか、2段階認証を設定するなど、活用方法を考えたら良いですね。
■
■ パスワードをどうやって管理するか?
■
長年、どうやってパスワードを管理するか考えてきて、今、私が実施している方法を以下に紹介します。なお、これでも100%安全とは言えませんが、少しでも参考になれば幸いです。
(1) 各種ログインID・パスワード一覧を、自分が普段使っているソフトで作成する。
*この時、ファイル自体にパスワードをかける
(2) (1)で作成したログインID・パスワード一覧を暗号化Zipで圧縮&暗号化する。
*データの紛失を考え必ず暗号化する
(3) (2)の暗号化Zipファイルを(2段階認証を実施した)オンラインストレージ「Dropbox」に保管する。
*オンラインストレージ保管なので(1)、(2)で暗号化し、不正ログインを防止するため、
2段階認証にすることが大事です。
(4) 万が一を考え、大事なログインID・パスワードのみを特別な小型ノートに書込み手元に置いておく。
*小型ノートの紛失を考え、サービス名・ログインID・パスワードが類推されないよう
注意する。例えば、パスワードは逆に記載するとか。
(1) 各種ログインID・パスワード一覧作成
私は簡易的なデータベースソフトを使用していますが、例えば、Microsoftの表計算ソフト(Excel)や無料のオフィスソフト「LibreOffice」の表計算ソフトでも良いですね。
なお、表計算ソフトを使う場合には、万が一のことを考え、作成したファイルに読み込み時のパスワードを設定することをお勧めします。
(2) 一覧ファイルを暗号化Zipで圧縮&暗号化
私は次の方法で実施しています。暗号化Zip作成は、Windows7以降はOSで対応していないので、次のソフト活用をお勧めします。
暗号化圧縮形式Zip対応のフリーソフト「7-Zip」を活用 *詳しくは補足参照
(3) 暗号化Zipファイルをオンラインストレージ「Dropbox」に保管
私は、Dropboxを長年愛用しているので、Dropboxに保管していますが、セキュリティ上、不安な方は「暗号化機能付きのUSBメモリ」でも良いですし、この方が安全かもしれません。
なお、オンラインストレージ「Dropbox」でも、大事なパスワードをインターネットに保管するので、100%安全とはいえませんが、2段階認証しファイルを暗号化すれば、不正アクセスを防ぎ、万が一情報漏洩しても安心できると考えています。
100%安全・安心を実行するには大変な労力と不便さを伴いますね。安全と利便性、どこで折り合いをつけるかを考えることが大事です。
(4) 万が一を考え、大事なログインID・パスワードのみを特別な小型ノートに記録
オンラインストレージ、いつでも安心して使えるとは限りません。そのため、万が一を考え、大事な一部のログインID・パスワードを小型のノート(電話帳みたいなもの)に記載して、手帳と共に常時、持っています。
■
■ ≪補足≫暗号化圧縮形式Zip対応 フリーソフト「7-Zip」の使い方
■
このソフトは、圧縮・解凍ソフトでは代表的な人気のあるソフトです。専用の形式「7zフォーマット」に対応するほか、各種の圧縮・解凍形式をサポートしています。また、強力な「256AES 暗号化機能」、自己解凍形式、ファイルの分割・結合、テストの実施、お気に入り機能などをサポートしています。
ダウンロード : http://sevenzip.sourceforge.jp/
7-zipのダウンロードは、32ビット版と64ビット版が用意されているので、環境に合わせてダウンロードしましょう。ちなみに、「32ビットか64ビットか?」は、OSの違いで判断します。
スタートメニューの「プログラム」に「7-Zip File Manager」の項目が追加されますので、これを実行します。または、7zFM(7zFM.exe)をダブルクリックして起動します。7-Zipは”2画面分割”で使うと操作が便利になります。
なお、USBでも使えるポータブルタイプの「7-Zip Portable」もあります。私は、このポータブルタイプをDropboxのフォルダーに保管して利用しています。
7-Zip Portable: http://portableapps.com/apps/utilities/7-zip_portable
