最も人気のあるクラウドベースのパスワードマネージャーであるLastPassは、デスクトップ版は無料でしたが、パスワードをモバイルデバイスと同期するには料金が必要でした。そのため、多くのユーザーがパスワードマネージャーの導入をためらっていたと考えられます。
セキュリティ専門家は、パスワードマネージャーを様々なサービスのアカウントを安全に保つための最良の方法の一つと評価しています。何百万人ものユーザーの認証情報がオンラインで漏洩した場合、研究者は多くのユーザーがアカウントのセキュリティ保護のために短くて単純なパスワードを使用していたことを発見することがよくあります。
これらのパスワードは、攻撃者がターゲットの過去を調べることで推測できるだけでなく、最新のパスワードクラッキングツールで簡単に解読される可能性もあります。
短いパスワードは大規模なデータ漏洩を引き起こす
短くてシンプルなパスワードを使う理由はいくつかあります。まず、忘れてしまうのが怖いので、覚えやすいシンプルなパスワードを選ぶのです。
もう一つの理由は、近年では数十ものウェブサイトやアカウントにログインする必要があるため、2つか3つの簡単なパスワードを選び、それらをすべてのサイトで使い回しているということです。これは、もしこれらのウェブサイトのうち1つがハッキングされたとしても、他の複数のアカウントも侵害される可能性があることを意味します。
人々が短いパスワードを選ぶもう一つの理由は、最近のパスワードクラッキングツールがどれほど進化しているかを認識していないことです。多くの人は、攻撃者がパスワードを「推測」することだけが唯一の脅威だと信じていますが、実際には、攻撃者は数分間で数百万もの短いパスワードをテストするでしょう。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
パスワードマネージャーが救世主
パスワードマネージャーは、各アカウントに長くて固有のパスワードを生成することで、上記の問題を完全に解消します。平均的には、ユーザー(特に複数のサイトで短いパスワードを使用しているユーザー)の安全性が大幅に向上するため、多くのセキュリティ専門家がこの種のセキュリティツールを高く評価している理由です。
NISTの最近の調査では、コンピューターユーザーの「セキュリティ疲れ」についても言及されています。これは主に、企業においてはユーザーが数十ものパスワードを扱わなければならない状況に関係しています。適切なセキュリティ対策を講じたパスワードマネージャーは、この問題も解決できる可能性があります。
「2016年に入ってから、不適切なパスワード管理が原因で10億件以上のパスワードが漏洩しています」と、LastPassの創設者であるジョー・シーグリスト氏はブログ記事で述べています。「私たちは、ユーザーがオンラインセキュリティを自ら管理できるよう支援し、次なる侵害の波に対して無力感を抱かないようにしたいと考えています。パスワード管理をより便利にすればするほど、この問題をより効果的に解決できるようになります。ユーザーには、職場を含め、どこにでもLastPassを持ち歩いてほしいと考えています。なぜなら、毎日利用するサイト、アプリ、サービスへのアクセスは、オフィスにチェックインしたからといって終わるわけではないからです」とシーグリスト氏は付け加えました。
パスワードマネージャーの弱点
しかし、パスワードマネージャーには大きなリスクもいくつかあります。一つは、パスワードをエンドツーエンドで適切に暗号化してくれると確信できる(少なくともLastPassのような、デバイス間でパスワードを同期できる「クラウドベース」のマネージャーであれば)必要があることです。そうしないと、自分だけが自分のパスワードデータベースにアクセスできなくなります。
LastPassのセキュリティアーキテクチャはまさにそれを実現するように見えます。悪意のある意図が証明されない限り、ユーザーのパスワードを安全に保管してくれると信頼されるでしょう。認証局と同様に、クラウドベースのパスワードマネージャー企業が本当に頼りにできるのはユーザーの信頼だけです。もしこの信頼が何らかの形で損なわれれば、ユーザーは流出し、最終的には倒産に追い込まれるリスクがあります。
セキュリティ意識の高い人々は、こうした問題に非常に敏感です。時には、買収でさえも、ユーザーがその企業が依然として信頼に値するかどうか確信を持てず、騒動を引き起こすことがあります。そのような場合、企業はユーザーの信頼を維持することにコミットしていることを改めて明確にする必要があります。
それでもLastPass、Dashlane、1Passwordなどのクラウドベースのパスワードマネージャーを信頼できない場合は、KeePassやKeePassXといったデスクトップ向けのオープンソースパスワードマネージャーを利用できます。これらのオープンソースツールはモバイルでも使用できますが、パスワードデータベースを互換性のあるアプリにインポートして、パスワードの同期を自分で行う必要があります。
マスターパスワードの保護
パスワードマネージャーで起こり得る2つ目の大きな問題は、マスターパスワードがハッキングされたり盗まれたりすることです。パスワードマネージャーを使い始めると、そのツールのマスターパスワードは唯一必要なパスワードになります。そのため、マスターパスワードはしっかりとしたものにする必要があります。クラッキングツールで簡単に破られてしまうようなパスワードは避けたいものです。
長くて一意のマスターパスワードだけでは不十分なので、LastPassなどの類似サービスにログインする際には2要素認証も使用することをお勧めします。理想的にはYubikeyや指紋認証/スマートカードの使用をお勧めしますが、Google AuthenticatorやLastPass独自のAuthenticatorも使用できます。
ほとんどのユーザーが指紋認証を使ってデバイスのロック解除だけでなく、ウェブサイトへのログインもできるようになるまでには、少なくとも数年はかかるでしょう。しかし、すべてのデバイスで生体認証が標準装備されたとしても、人々がそれらの方法よりも強力なパスワードを好む十分な理由があるかもしれません。パスワードマネージャーは生体認証とほぼ同じくらい使いやすく、企業のセキュリティ対策の不備によってアカウントが乗っ取られた場合でも、新しいパスワードを生成できます。この「機能」は生体認証の場合、はるかに限定的です。なぜなら、生体認証データが盗まれた場合、使用できる指や目の数は限られているからです。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
