サービスのクラウド化がどんどん進んでいることもあり、われわれユーザーが管理すべきID、パスワードの数はそれこそうなぎ登りだ。あまりに数が増えてしまった結果、同じパスワードをあちこちで使い回したり、パスワードを忘れてしまって利用しようとするたびにパスワードを再発行したり……という人もいるに違いない。
ご存じのとおり、同じパスワードの使い回しは、もし1箇所で漏洩してしまったときに芋づる式にほかのサービスも危険にさらされることになるなど、高いリスクが伴う。かと言ってサービス1つ1つで異なる、推測されにくい十分なセキュリティ強度を持ったパスワードを用意するとなると管理の手間が増えてしまう。
セキュアに、かつ手間を増やすことなくID/パスワードを管理するにはどうすればいいか。そこで出番となるのがパスワード管理アプリやパスワードマネージャーと呼ばれるツールだ。
今やPCだけでなく、スマートフォンやタブレットなど複数のデバイスを扱うことが多いうえに、キャッシュカードやIC化された運転免許証、マイナンバーカードのように暗証番号が必要な物理アイテムも増えている。これらを効率的に管理するには、サポートしてくれる専用のツールが必要な時代になってきているのだ。
というわけで、今回はメジャーなパスワード管理アプリを中心に、5つのツールについて、それぞれどんな特徴があり、どんな風に使えるのかを解説していきたい。
なお、今回のパスワード管理アプリのいくつかの検証にはマウスコンピューターのビジネス向け14型ノート「MousePro-NB420ZL」を使用した。14万円台からで第11世代Coreを搭載し、LTEをサポートしているなど、コストパフォーマンスの高さが特徴だ。
そもそもパスワード管理アプリとは?
一昔前は(もしかしたら今も)、PCディスプレイにIDとパスワードが書かれた付箋が貼られている、なんていう光景が多くのオフィスで見られていたと思う。
それは論外にしても、個人の手帳やPC内のテキストファイルに、ログイン時に使うID/パスワードをメモしている人は今もいるはずだ。そうしたセキュリティ的にリスクの高い習慣や非効率な管理をデジタル化して改善するのが、パスワード管理アプリだ。
パスワード管理アプリの多くは、単純にID/パスワードを「保管」するだけではなく、その情報の入力が必要になったときにユーザーに代わって自動で入力してくれる機能も持つ。
たとえば、WebブラウザからSNSにログインするときに、そのSNS(のURL)が何であるかを判定し、保管されているID/パスワードのなかから適切そうなものを自動で候補表示して、選択するだけで入力が完了する、というものだ。Webブラウザ自体もパスワードを記憶する機能を備えているが、管理という点においては柔軟性が高いとは言えない。
また、メジャーなパスワード管理アプリは、複数のOS、デバイスと同期することもでき、どのデバイスでも同じようにログイン操作や管理を簡単に行なえる仕組みを備えている。さらには推測困難なランダムパスワードを自動生成する機能を持ち、それを新たなサービス用のログインパスワードとしてすぐに使うこともできる。
2段階認証の一種であるワンタイムパスワードの生成機能を備えているものもあり、パスワード管理アプリは、もはやパスワードを「忘れてしまってもいい」ほどの利便性を提供してくれるツールと言っても過言ではない。
ただ気になるのは、一般的に1つの「マスターパスワード」を使ってツール内の情報にアクセスするようになっていること。あらゆるWebサービスのログインパスワードやプライベートの大切な情報を1つのツールにまとめてしまうことになるため、マスターパスワードが知られてしまえば、丸ごと情報やデータが抜き取られる危険性がある。
それ以前に、ツール自体が不正にユーザーの情報を取得しないともかぎらない。そういった点から、パスワード管理アプリの利用に懐疑的な考えを持つ人もいるのではないだろうか。
しかしながら近年は、第三者機関による調査あるいは認証を受け、一定以上の信頼性を持つツールが増えてきた。
データの強固な暗号化に加えて、ツールを利用するさいの本人確認に生体認証や2要素認証、物理的なセキュリティキーを選べるなど、こぞってセキュリティ対策を強化している。なかにはオープンソースで開発することで透明性を高め、脆弱性が発見された場合でも迅速に修正可能な体制を整えているものもある。
そういうこともあって、現在ではある程度安心してパスワード管理アプリを利用できる状況になってきた。あとはツールを使うユーザーの運用の仕方次第でセキュリティの高低が決まるところもある。
したがって、ツールを選ぶさいには、情報の管理のしやすさはもちろんのこと、ツールを利用するさいの認証方法の多さ、導入(移行)の容易さ、管理できる情報の種類の多彩さといったところが肝になってくるだろう。
それらの観点から、必須の機能を備えながらも個性的な5つのツールを集めてみた。最後に用意した機能比較表も参考に、自分に合うツールを見つけてもらえれば幸いだ。
Microsoft Authenticator - ワンタイムパス対応でパスワード管理も可能
https://www.microsoft.com/ja-jp/account/authenticator
Google Play Storeのリンク
App Storeのリンク
元々はワンタイムパスワードを生成する、いわゆる認証アプリだった「Microsoft Authenticator」。だが、最近になってパスワード管理アプリとしての機能も追加され、より汎用的に使えるツールに変貌した。と言っても、大まかにはその2つの機能だけで、ワンタイムパスワードの画面とパスワード管理アプリの画面を切り替えて使うようなイメージになる。
改めて説明すると、ワンタイムパスワードは2要素認証と呼ばれる方式を採用したアプリ、Webサービスなどで利用するコードだ。通常のパスワードのほかに、認証アプリが1分ごとに新たに発行する6桁の数字のワンタイムパスワードも入力することで、より高い確率で本人性を確認できる仕組みとなっている。
登録したアプリ/サービスごとに発行されるワンタイムパスワードをタップするだけでクリップボードにコピーでき、あとはそれを利用先のアプリ/サービスに貼りつけるだけの簡単な手順で扱える。
パスワード管理アプリ機能は、Webブラウザ上での自動入力にも対応する。登録したID、パスワード、関連付けるWebサイトのURLなどを管理でき、Webサイトのログイン画面でID/パスワードを入力するさいには、登録済みのなかから選択するだけで自動入力できる。機能は決して多くはないが、ワンタイムパスワード生成機能を含めすべて無料で利用できるのは利点と言えるだろう。
Firefox Lockwise - Firefoxユーザーにイチ押し
https://www.mozilla.org/en-US/firefox/lockwise/
Google Play Storeのリンク
App Storeのリンク
WebブラウザのFirefoxが備えるパスワード管理アプリの機能を1アプリとして切り出したようなツールが「Firefox Lockwise」だ。Firefoxで利用しているアカウントと連携するかたちになっているため、基本的にはFirefoxユーザー向けのツールと言える。
とは言え、独立したスマートフォンアプリを利用することで、スマートフォン上ではほかのWebブラウザやアプリなどでパスワードの自動入力も可能になる。スマートフォンアプリの起動は生体認証にも対応し、セキュリティ面でも安心感は高い。
ただし、試してみたところでは、スマートフォンのChromeなどほかのWebブラウザ上では、そのブラウザ内蔵のパスワード自動入力機能が優先され、うまく使えない場合があるようだ。
PC版のWebツール上ではパスワードのインポート機能が利用でき、EdgeやIE、Chromeからの移行は容易。FirefoxでWebサービスの新規アカウントを作成するようなときには、パスワード入力欄でさりげなくランダムパスワードを提案してくれるようにもなっていて、Firefoxとの一体感は当然だが強い。デフォルトではマスターパスワードがオフになっているので、セキュリティが気になるなら忘れずにオンにしておこう。
Firefox Relay - アカウント作成用の“ダミーメールアドレス”を作れる
今回のパスワード管理アプリのテーマからは少し外れるが、何らかのサービスに新規にユーザー登録するさい、セキュリティやプライバシーの面からプライベートの「本メールアドレス」を使いたくない、と感じることもあるはず。そんな場面で利用できるのが「Firefox Relay」というサービスだ。
これは、エイリアスとなるダミーのメールアドレスを発行し、そのアドレス宛のメールをすべてFirefoxアカウントで利用している(本)メールアドレスに転送してくれるもの。試しに使ってみたいWebサービスや、業務の都合上どうしても別メールアドレスで登録したいときなどに使えるだろう。
Firefoxという名称ではあるが、Firefoxアカウントさえあれば利用できる独立したサービスなので、プラットフォームやメインで使用しているWebブラウザが何かに関係なく便利に使える。作成できるエイリアスは5つまで、添付ファイルは150KBまで、という制限があるので、その点にだけ注意して活用したい。
機能比較表 - 有料ツールがベターだが、無料ツールの組み合わせもアリ
最後に、Firefox Relayを除く4つのツールの機能比較表を用意した。
このなかから純粋にパスワード管理アプリとして導入するもの選ぶということであれば、やはりBitwardenと1Passwordのどちらかになるだろう。ワンタイムパスワードの生成やセキュリティキーの利用を考えると、いずれにしても有料アカウントが前提となるが、それでもBitwardenの料金の安さは魅力的だ。
| Bitwarden | 1Password | Microsoft Authenticator | Firefox Lockwise | |
|---|---|---|---|---|
| ライセンス | 無料 Premiumは0.83ドル/月~ |
有料 2.99ドル/月~ |
無料 | 無料 |
| 日本語対応 | ○ | ○ | ○ | ○ |
| クロスプラットフォーム | Web/Windows/macOS/ Linux/Android/iOS |
Web/Windows/macOS/ Android/iOS |
Android/iOS | Web/Android/iOS |
| スマホアプリロック解除 - PIN認証 | ○ | ○ | ○ | - |
| スマホアプリロック解除 - 生体認証 | ○ | ○ | ○ | ○ |
| スマホアプリロック解除 - 2要素認証 | ○ 認証アプリ セキュリティキー (要Premium登録) |
○ 認証アプリ セキュリティキー |
- | - |
| Windows Hello認証 | - | ○ | - | - |
| データインポート | ○ 対応形式50以上+CSV |
○ 対応形式5+CSV |
○ MSアカウント/Chrome/CSV |
○ Chrome/Edge/IE |
| データエクスポート | ○ PC Web、アプリから可 |
○ アプリから可 |
- バックアップ機能あり |
○ PC Webから可 |
| PC Webブラウザ上での自動入力 | ○ | ○ | - | ○ Firefoxのみ |
| スマホWebブラウザ上での自動入力 | ○ | ○ | ○ | ○ |
| スマホアプリ上での自動入力 | ○ | ○ | - | ○ |
| ランダムパスワード生成 | ○ | ○ | - | ○ PC Webのみ |
| ワンタイムパスワード生成 | ○ (要Premium登録) |
○ | ○ | - |
| SSO(シングルサインオン)相当機能 | ○ (要Enterprise版) |
○ (要Business版) |
- | - |
あとはWindows Hello対応を重視するかどうかで変わってくる。PCで顔認証や指紋認証をすでに利用しているなら、確実に1Passwordのほうが利便性は高いだろう。反対にWindows環境ではない人や、せいぜいセキュリティキーまでの利用で十分ということであれば、Bitwardenを選ぶのが良さそうだ。
とりあえず金銭的なコストをかけずにはじめたいということなら、Microsoft AuthenticatorとFirefox Lockwiseの2つをセットで利用するという手もある。PCとスマートフォン間でツールをまたいだ同期ができない点はネックだが、Microsoft Authenticatorをワンタイムパスワード生成専用と割り切って使うのなら問題ない。
有料ツールにしろ無料ツールにしろ、紙のメモやテキストファイルで保管するより、圧倒的に効率良く管理できるようになるはず。これからも増え続けることはまず避けられないID/パスワードの整理と管理に、ぜひパスワード管理アプリの導入を検討してみてほしい。
からの記事と詳細 ( パスワード管理アプリのおすすめ4選+α。無償で使えるBitwardenなどを紹介 - PC Watch )
https://ift.tt/3dITF9q
No comments:
Post a Comment