パスワード管理ソフトのセキュリティは信頼できるのか？

今日、インターネットを利用する際、単純なブラウジングだけでなく、ほとんどすべてのことにログインが必要です。そのため、デジタルライフを維持するために、複数のユーザー名とパスワードを持っている可能性が高いです。そして、その複雑なパスワードを記憶するために、パスワードマネージャーを使用しています。

パスワードマネージャーのセキュリティは信頼できるのか、パスワードマネージャーを使うリスクは何か、どうすればセキュリティを強化できるのか。検証してみましょう。

パスワードマネージャーがパスワードを保護する方法

パスワードマネージャーは、パスワードを暗号化してパスワード保管庫に保管します。保管庫のロックを解除し、保存したパスワードを復号化するためには、マスターパスワードを提出する必要があります。

ほとんどのパスワード管理ソフトはAES-256ビット暗号を採用しており、これは軍用レベルの暗号化です。あなたの金庫を解読するための暗号化キー（多くの場合、あなたのマスターパスワードから派生する）は、アプリがロック解除されている間だけメモリに保存されます。また、保管庫がロックされると、メモリ内のデータは削除されます。

信頼できるパスワード管理ツールはすべてゼロ知識アーキテクチャを採用しています。つまり、パスワードはあなたのデバイスを離れる前に暗号化されます。つまり、あなたのパスワードは、あなたのデバイスから離れる前に暗号化されます。その結果、パスワード・マネージャーのサーバーにあるあなたのパスワードは、サービス・プロバイダーでさえも、誰も読むことができません。

多くのパスワード管理ソフトでは、二要素認証を設定することで、パスワード保管庫にさらなるセキュリティ層を追加することができます。

また、信頼できるパスワード管理会社は、既知のデータ侵害がないか、定期的にログイン情報をスキャンしています。あなたのパスワードがデータ侵害で見つかった場合、あなたに通知されます。さらに、さまざまなレポートを実行して、保存されているパスワードの健康状態をチェックすることもできます。

例えば、パスワード管理ソフトの中には、複数のアカウントで同じパスワードを使っていないかどうかをチェックできるものがあります。また、パスワード保管庫に、すぐに変更すべき弱いパスワードがあるかどうかもチェックできます。また、いくつかのパスワード・マネージャーには、他のユーザーとパスワードを安全に共有する機能があります。

パスワード管理ソフトの自動入力機能は、キーロガーによる攻撃の際、パスワードを入力する手間を省き、安全性を保つことができます。

パスワードマネージャーを使用するリスク

デジタルの世界では、完全に安全なものはありません。パスワードマネージャーも同様です。

ここでは、パスワードマネージャーが安全でない一般的な理由を説明します：

パスワードマネージャーは、パスワード、セキュアノート、クレジットカード情報、またはその他の機密データを一か所に保存します。そのため、セキュリティ侵害は深刻な影響を与える可能性があります。
すべての優れたパスワード管理ツールは、ユーザーがパスワード保管庫をバックアップすることを許可していますが、誰もがそれを行うわけではありません。そのため、保管庫のバックアップがない場合、パスワードマネージャのサーバーが故障すると、保存したログイン情報にアクセスできなくなる可能性があります。
二要素認証の使用は必須ではありません。2FAを使用していない場合、パスワードデータベースの安全性は低くなります。マスターパスワードを知っていれば、誰かが簡単にあなたの保管庫にアクセスすることができます。
デバイスがキーロガーに感染している場合、脅威者は、あなたがマスターパスワードを入力したときに、そのパスワードを知ることができます。そして、パスワード・マネージャーにログインして、オンライン・アカウントのログイン情報を盗み出すことができます。
マスターパスワードを忘れると、すべてのアカウントにアクセスできなくなることがよくあります。

最後になりますが、すべてのパスワードマネージャーが同じように作られているわけではありません。安全なパスワードマネージャーもあれば、暗号化が弱く、セキュリティ機能が少ないパスワードマネージャーもあるのです。

例えば、ブラウザベースのパスワード管理では、弱いパスワードや再利用されたパスワードを検出することはできません。

パスワードマネージャーの安全性は疑問視されている？

LastPassやOneLoginは過去にハッキングされたことがあります。では、人々はパスワード管理ソフトを信頼すべきなのでしょうか？答えは、「イエス」です。

パスワードマネージャの使用に関連するセキュリティ問題の多くは、ユーザーの行動によって存在します。例えば、ユーザーは強力なマスターパスワードを使用しなかったり、2FAを有効にしなかったりして、パスワード・マネージャのセキュリティを弱めることがあります。

パスワードマネージャー自体に起因するセキュリティ上の問題はごくわずかであり、優れたパスワードマネージャーを使用することで、それらの問題を克服することができます。

より安全に利用するために、パスワード管理ソフトに求めるべき機能があります。暗号化されたパスワードを保存し、ゼロ知識ポリシーに従っているパスワードマネージャーを選んでください。また、選んだパスワード・マネージャーが、その安全性を確認するために、評判の高い独立系セキュリティ企業やセキュリティ研究者による監査を受けているかどうかもチェックしてください。

予算が許すなら、無料のパスワードマネージャーではなく、有料のパスワードマネージャーを使うべきでしょう。有料プランでは、セキュリティを強化するための高度な機能が提供されているからです。

オープンソースのパスワードマネージャーは、一般的にクローズドソースのパスワードマネージャーよりも安全であるため、オープンソースのパスワードマネージャーを検討することは賢明な判断と言えます。

パスワードマネージャーを強化する方法

パスワードマネージャのセキュリティを強化するための4つのヒントを紹介します。

1.強固なマスターパスワードの作成

マスターパスワードは、保存されたすべてのログインの鍵になるものです。そのため、複雑かつ覚えやすいパスワードを作成するようにしましょう。

覚えきれないほどのハッキング防止用のマスターパスワードを作成した場合、パスワードマネージャに簡単にコピー＆ペーストできるように、システムに保存することが多いでしょう。しかし、マスターパスワードをデバイスに保存することは、ハッカーがリモートアクセスのトロイの木馬攻撃を受けた場合にパスワードを盗むことができるため、サイバーセキュリティの実践としては不十分です。

そのため、覚えやすい複雑なマスターパスワードを作成することが不可欠です。童謡、映画からの引用、業界用語などを使えば、簡単に思い出せる解読不可能なパスワードを作成することができます。

2.バイオメトリクス認証を有効にする

生体認証は、パスワードやPINよりも安全です。最近のほとんどのパスワードマネージャーでは、パスワード保管庫にアクセスするために、ユーザーが生体認証を有効にすることができます。そのため、パスワードマネージャーのセキュリティを強化するために有効にしましょう。

パスワードマネージャーは、デバイスやオペレーティングシステムで利用可能な生体認証を利用できるようになったのは良いことです。つまり、WindowsデバイスのWindows Hello、AppleデバイスのFace IDまたはTouch ID、Androidデバイスの顔認証または指紋認証を設定して、パスワードマネージャのロックを解除することができます。

生体認証を有効にすると、パスワード保管庫にアクセスする際にマスターパスワードを入力する必要がなくなります。