皆さんはパスワード管理をどうされていますか?
2・3個のパスワードなら記憶できる範囲であると思います。
しかし、過去のセキュリティ被害の事例から、「パスワードの定期的な変更」、「同じユーザIDやパスワードの使いまわしはしない」は一般常識になっています。
インターネットサービスの充実によって1人あたりのサービス利用数は年々増加している中、それぞれ個別のユーザIDとパスワードを作成し、さらには定期的に変更しろといわれても、頭の中に記憶できる限界を超越しています。
さらには、パスワードを忘れたりロックしてしまった際の本人確認用に使用するパスワードが必要だったりします。
また、WEBブラウザーにあるパスワード保存機能やIEのようなオートコンプリート機能は、そのPCを使える人であればだれでもそのサービスにログインできてしまいます。
紙にメモを取る行為もについても、同じくそのメモを見ることができる人であればだれでもなりすましができます。
ブラウザーに保存されているcookie情報がアクセスしたサーバに何らかの悪意あるプログラムが仕込まれていて盗まれる事件も発生しています。
そういった、セキュリティの一般常識を無視し、杜撰なパスワード管理・運用をしていて、なんらかの損害を被ってもすべての補償がされないケースもあるようです。
過失なのか故意なのか?
その判断を第3者が行う場合に普段の暗証番号やパスワードの運用方法が重要になります。
それぞれのインターネットサービスごとに設定されたセキュリティポリシーによって、ユーザID(ユニークな文字列やメールアドレスなど)とパスワードルール(文字数、文字の種類など)さらには、パスワードを忘れた場合の本人確認に使用する情報(登録時に設定した本人しか知りようがない内容)を覚えておかないといけません。
メールアドレスがユーザIDになっているサービスでは、そのサービスのことを知っている人であれば容易にユーザIDは推測できます。
あとはパスワードがわかればログインできてしまいます。
パスワードは辞書を使った方法などで総当たりでログインできるまで試行することでパスワードをゲットすることも不可能ではありません。
その対策にはパスワードに使用する文字数や文字の種類を増やすことになりますが、本人が覚えることはほぼ不可能となります。
従来より1つのサービスあたりの記憶しておかないといけない情報量は増え、また、アカウントの統合などサービス提供側の都合で移行しないといけないケースも発生したり、セキュリティ対策のためにサイトのURLやログイン方法も日々、更新されていきます。
記憶する情報量とその更新頻度が増加し、インタネットの普及によりすでに人が管理できる情報量を超えているのが現状です。
Roboform2GO
私は、パスワード管理に「Roboform2GO」を使用しています。
この製品は、買い取りタイプになりますので、現行バージョンの7.XXの間は無償アップデート可ですが、バージョン8がリリースされてそれを使う場合は別途料金が発生します。
その他、デスクトップライセンスやエブリウェアライセンスがあります。
Roboformとの違いはRoboform2GOはUSBにインストールしますので、1つのUSBに1ライセンスが必要になります。
例えばWindows版であれば、USBを持ち出して外出先のWindowsPCにUSBを差せば使用できる点はメリットです。
USBを紛失しても一応、マスターパスワードで保護していれば安全だと思いますが、心配であればセキュリティ機能のあるUSBを利用すればよいと思います。
ただ、USBにインストールするポータブル版ゆえに対応ブラウザーが制限されています。
しかし、この点はPCにRoboformをインストールしていればRoboform2GOの動作が引き継がれるため、対応ブラウザーの制限は緩和されます。
また、エブリウェアアカウントを作成してRoboform2GOと同期しておけば、モバイル版アプリ(無償)で同期することでi-PhoneやAndroid端末でも利用できるようになります。
デスクトップ版よりはポータブル版であるRoboform2GOのほうが、自分にはちょうど良いのではないかと感じています。
バージョンアップ時に悩まされるのが、Firefoxに表示されるRoboformツールバーです。
Roboform2GOであってもIEとFirefoxはサポートしていますが、ツールバーに関してはデスクトップ版をインストールしないと機能しないことが多々あります。
これはバージョンアップの内容によって影響があるようです。
最近アップデートして7.9.21にしましたが、Firefoxでツールバーが表示されるもののまったく無反応で機能しませんでした。
何かのファイルが破損してしまったようです。
以下のように、Firefoxの公式サイトへいって、リフレッシュをすると改善しました。
※リフレッシュするとFirefoxの設定が初期状態に戻り一部アドインがアンインストールされる可能性があります。
その他のパスワード管理ソフト
パスワード管理ソフトはいろいろな製品が発売されています。
最近では、ブラウザーのアドオン機能として入手できるものがあったり、セキュリティソフトの追加パッケージとして付属していたりします。
上記の3製品は、順番に企業でも使用されているセキュリティ機能が強化された印象で信頼できるkeeper、世界での利用数が多い点で信頼できる1password、セキュリティソフトと同一メーカが配布している無料のkaspersky password managerです。
他にもいっぱいあります。
上記3製品を利用してみましたが、どのソフトウェアも登録は事前にアプリ上で保存しないといけないのかが不明でした。
パスワード管理ソフトの機能
基本的な機能
- ユーザアカウントとパスワードを保存
- サイトのURLを保存
この2つの機能だけでもパスワード管理ソフトと言われています。
付加機能
- ユーザアカウントとパスワードの自動保存
- ワンクリックログイン
- 保存データの暗号化
- マスターパスワードでの保護
- 自動入力(auto fill)
- フォームデータの保存
- メモ機能
- アイデンティティ情報の保存(住所、連絡先、カード情報など)
- アプリケーション情報の保存(ライセンスキーなど)
- ブックマーク情報の保存
- 住所録の保存
- クラウドサービスとの同期
- パスワードの自動生成
付加機能にあげた項目すべてをサポートしているパスワード管理ソフトはほとんどありません。
中でも、フォームに入力した情報(ユーザIDやパスワード含む)を保存できる製品は限られています。
パスワード管理ソフトを利用する場合、最初の状態は何も保存されていません。
管理したいパスワード情報(ログイン情報)をどのようにしてパスワード管理ソフトへ登録するのか?
その方法で一番多いのが、パスワード管理ソフトの新規作成を実行して保存したいアカウント情報を1つずつ事前に手入力していく方法です。
使用しているRoboformは、フォームデータの保存が可能ですので、登録時は実際にサービスにログインするときに入力した内容を保存するかどうかを選択できます。
また、保存しているパスワードと異なる場合に上書きするかどうかを尋ねられます。
サービスサイトの新規ユーザ登録時に入力した情報すべてが保存できるので非常に便利です。
Roboformで困ることは、スマホで使用する場合にいまいち操作がわからないことです。
ユーザ補助の設定でroboformを表示できるようにしていますが、アイコンが表示されたりされなかったりで戸惑っています。
あとは、次の2つが対応できません。
- 辞書攻撃対策やBOT対策で効果があるとされているCAPTCHAを入力しないといけないサイト
- 1行に2つのテキストボックスがあるフォーム
1の場合は、例としてはpanasonicのclub panasonicです。1回目は記入と送信を行ってしまうためCAPTCHAが一致せず必ず失敗します。2回目に記入ボタンをクリックしてCAPTCHAの文字列を手入力してログインが成功します。
Roboformの設定で記入のみで送信はしないようにすれば1回目の失敗は回避可能です。
2の場合は、ログインユーザIDがXXXX-YYYYという形式でそれぞれXXXXとYYYYでテキストボックスがわかれているケースです。最初のXXXXのほうしか保存できないようで、ユーザIDが一致せずログインに失敗します。
それ以外は満足のいくレベルでずっとこの先もRoboformを使っていくだろうと思います。
今回は他のパスワード管理ソフトがどんなものかを調査するためにいろいろ試しました。
サイトのURLとユーザIDとパスワードをセットで管理できるタイプであれば、偽サイトに誘導されて個人情報を入力してしまうこともなくなると思います。
OpenIDなどの利用
認証のみを行うサービスです。
過去の個人情報流出事件から、サービス側ができる一番の対策は個人情報を保持しないことです。
個人情報がなければ漏洩する心配はありません。
そういう観点から、私は、やたらと個人情報を登録しないといけないサービスは疑いの念を持ちできるだけ使用しないようにしています。
それを実現する方法としてOpenIDサービスなどの利用です。
いまではOpenIDやSNSのログイン情報でサービスが利用できるサイトが増えています。
こういうサイトを利用すれば管理するのはSNSのログイン情報だけに絞られるため、管理すしなければならない情報量が減り、無料バージョンのパスワード管理ソフトでも使い続けることができる可能性があります。
ただデメリットとして、利用しているサービス間で同一ユーザであることがわかります。
SNSの中には本名で登録し本名が公開されるサービスもあるでしょうから、ご自分で判断してください。