ライフハッカー［日本版］

毎回入力する手間を省くために、アプリにパスワードを覚えさせている人、多いですよね。その場合、ちゃんと暗号化していないと、あなたのマシンをさわれる状態の人は、その気になれば簡単に解読できてしまうのです。おそらく、かなりの人がきちんと暗号化していないだろう、とにらんだ「The How-To Geek」エディターが、パスワードの保存の仕方のよくある間違いと、正しい方法を紹介しています。

まず、最初に想定するシナリオは、あなたの家を訪れる人は信頼できる人で、あなたのマシンにハッキングしてパスワードを盗むようなことはしない、というものです。そのかわり、あなたのラップトップが盗まれた場合を考えます。ただし、これから紹介する方法は、どちらの状況でも使えるワザです。パスワードが漏れないようにするのは大事なことですが、それ以前に予想されにくいパスワードを使うとか、パスワードを呼び出す質問（例：「あなたのお母さんの旧姓は何ですか」）の答えにひねりを加えるとかしておきましょう。
　

「Remember Password」をクリックしたら終わりではない

パスワード入力が必要なほとんどのアプリには、そのパスワードを記憶させる機能がついています。そこで「Remember Password」をクリックしたら、あなたのパスワードはテキスト形式の文字と変わらない状態になるのです。アプリがアカウント情報を暗号化しているのだとしても、それは簡単に復元できるシステムなのです。あなたのマシンに触れる人がパスワードを盗むことも可能ですし、実際、忘れてしまったパスワードを復元するツールだってあるわけですしね。

これは、どれだけ複雑なWindowsパスワードを持っていても同じことで、たとえば「Ubuntu Live CD」を使えば、あなたのすべてのデータをそのまま、外部のドライブにコピーし、そこからあなたのファイルにアクセスすることもできてしまうのです。ハッカーは、『Ophcrack Live CD』や『System Rescue CD』を使って、あなたのパスワードを盗んだり、勝手に換えてしまったりするかもしれません。

一度ファイルへのアクセスに成功したら、ハッカーはフリーツールを使って、Outlook、Instant Messenger、Wi-Fi、Internet Explore、Firefox（こちらの『FireMaster』もどうぞ）、Chrome、やその他のパスワードを復元できてしまいます。一つの方法でうまくいかなかったら、ググって他のツールを探すまでです。

「Pidgin」はパスワードをテキスト形式で保存

インスタントメッセンジャーの『Pidgin』では、パスワードをテキスト形式で保存するようになっています。試しに、あなたの「%appdata%\.purple\accounts.xml」ファイル、をNotepadなどのテキストエディターで開いてみてください。

そこには、あなたのパスワードがそのまま表示されています。『Pidgin』も、ちゃんと考慮してパスワードをテキスト形式で保存することに決めたそうですが、心配だという人は、たとえばNirsoftの『MessenPass』などを自分でダウンロードして対応してください。そうすれば、『AIM』、『Windows Live Messenger』、『Trillian』、『Miranda』、『Google Talk』、『Digsby』でパスワードを復元できます。ただ、『Pidgin』の開発者たちは、テキスト形式でパスワードを保存するという方法が、実はセキュリティ上有効だと主張しているんです。

パスワードをテキスト形式で保存するのは、わざわざ難読化して保存するよりも安全だと考えています。なぜなら、そうすることによってユーザーが、セキュリティに関する間違った印象を持たないために、自分でより安全なソフトウェアを使おうとするからです。

つまり、自分のパスワードには自分で責任を持とう、ということですね。だから、一番安全なのは、インスタントメッセンジャーにパスワードを覚えさせないようにすることなのですが、それができない場合は、最低限、Windows内蔵の暗号化ツールや、『TrueCrypt」などを使うなどした方がいいということです。

パスワードマネジャーが唯一安全な保存場所

やっぱり一番安全なパスワード保存場所は、『KeePass』のようなパスワードマネジャーの中です。

そのパスワードマネジャーに、少なくとも10桁の文字数列でできた、最強のマスターパスワードをかけておけば、中に入っているその他のパスワードも守れるというわけです。米lifehackerおすすめパスワードマネジャー一覧はこちらですが、一番読者が気に入っているのは『KeePass』のようです。「KeePass」はクロスプラットフォームのツールです。

たくさんあるプラグインを使えば、パスワードの整理もより簡単になりますよ。プラグインといえば、もちろん、Firefoxにも多くのパスワードマネジャーがついていますね。

Firefoxの「Master Password」で8桁以上のパスワードをかける

パスワードの管理は全部Firefoxでしたいと言う人は、「Firefox Master Password」を有効にするのを忘れずに。ツール＞オプション ＞セキュリティの、「マスターパスワードを使用する」にチェックを入れてください。

ここまですると、Firefoxはあなたのパスワードを、8桁以上の文字数列で少なくとも一つ大文字が入った、AES暗号にしてくれます。

もし、「secret」なんていうパスワードにしていたら、1分以内に崩されてしまいますが、8桁以上のランダムな文字列でできたパスワードは、少なくとも解読するのに73年かかるとされています。

「マスワーパスワード」を有効にしておくと、Firefoxでパスワードを入力するサイトに行ったら、自動的に「Master Password」からパスワードが表示されます。デフォルトでは、パスワードの認証はセッションの間中ずっと有効なのですが、これは「Master Password Timeout」アドオンで、ある一定時間経ったら無効になるように設定することができます。こうしておくと、ちょっと席を外すときなどに便利ですね。

『TrueCrypt』で何でも暗号化

パスワードマネジャーに管理してもらったり、いっさいパスワードを保存しないようにしたりというのは、両方ともいい方法なのですが、もう一つの手として、何でも『TrueCrypt』で暗号化してしまう、というのはどうでしょうか。ポータブルバージョンを使えば、暗号化したデータを持ち運べますよ。

とっても心配性な人だったら、ハードドライブ全体を『TrueCrypt』で暗号化してしまってもいいですね。そうすると、起動のたびにパスワードを入力しないといけなくなりますが、あなたの作業のすべては暗号化されていて、誰にも入り込めないという安心感が得られるかもしれません。

もし、『TrueCrypt』が大げさだと感じる人は、Windows内蔵の暗号化機能を使ってもいいですね。ただ、注意しなければいけないのは、パスワードを変更した場合、あなたのデータにはアクセスできなくなる、ということと、Windowsのパスワードは解読可能で、一度崩されたらあなたのファイルすべてにアクセスされてしまう、ということです。

みなさんは、どのようにしてパスワード管理していますか。コメント欄で教えてくださいね。

The How-To Geek（原文／訳：山内純子）
　

情報セキュリティスペシャリスト
午後オリジナル問題集〈2009年度版〉