連載
特集
カテゴリー
タグ
メディア

パスワードマネージャーはどの程度安全か?

author 訳:春野ユリ
  • カテゴリー:
  • TOOL
パスワードマネージャーはどの程度安全か?
Image: Getty Images

パスワードは、インターネットを使用する上で不可欠です。

10年前は、ほんの一握りのパスワードを覚えておけばよかったかもしれませんが、今は、平均的なユーザーでも約100個のパスワードを使っています

ですから、全部を記憶することはできません。

そこで、パスワードマネージャーの出番です。

しかし、パスワードマネージャーは多数のパスワードの管理に関しては非常に便利ですが、本当に使用しても安全なのでしょうか?

パスワードマネージャーがパスワードを安全に保つ仕組み

pw2
Image: MakeUseOf

パスワードマネージャーには、2つのタイプがあります。

デバイスベースのパスワードマネージャーは、ログインをデバイスにネイティブに保存します。

また、Webベースのパスワードマネージャーはそのパスワードマネージャーを所有している会社のサーバーにパスワードを保持して、複数のデバイス間でデータを同期できるようにします。

どちらを選んでも、暗号化されたログインにアクセスする唯一の方法は、マスターパスワードを使用することです。

ただし、Webベースのパスワードマネージャーに関しては、暗号化されないパスワードをサーバーに保存しないサービスを探す必要があります。

たとえば、LastPassというパスワードマネージャーはゼロ知識ポリシーで動作し、エンドツーエンド暗号化を使用してパスワードを保護します。

LastPassは、パスワードがデバイスを離れる前に暗号化し、デバイス上でローカルでのみ復号化。

これにより、最大限のプライバシーとセキュリティが確保され、悪意のあるハッカーもパスワードマネージャーを所有する会社の従業員もパスワードにアクセスしにくくなります。

さらに、パスワードマネージャーを使用すると、オンラインセキュリティの最も重要な要素である「パスワードの定期的な変更」が、これまでになく簡単です。

すべてのパスワードを自分で記憶する必要がないので、3カ月ぐらいごとに、すべてを整然と変更できます。

パスワードマネージャーのアプリは安全か

pw3
Image: MakeUseOf

無料のパスワードマネージャーを使用するつもりなら、一番気になるのは信頼できるかどうかです。

結局のところ、パスワードマネージャーの会社もお金を稼ぐ必要があるので、サブスク料金で稼げないなら、別の方法で稼ごうとしているはずです。

たとえば、LastPassは無料のパッケージを提供していて、無制限のパスワード、自動保存と入力、パスワードジェネレーター、2FAが付属しています。

しかし、これでは、無料の割に条件が良すぎないでしょうか。

当然、無料のパスワードマネージャーのアカウントには、有料のアカウントと同じメリットはありません。

LastPassに関しては、サポートとサーバーのダウンタイムを考慮する必要があります。

ユーザーのパスワードはデバイスにローカルで保存されるのではなくて、LastPassを所有している会社のサーバーに保存されるので、サーバーがダウンすると、一時的にログインにアクセスできなくなる可能性があります。

また、無料アカウントには基本的なサポート機能しかないので、緊急時にパスワードを呼び出しにくくなる可能性も。

プライバシーに留意しよう

それでも、LastPassはパスワードを管理するために選択できる最も安全な会社の1つです。しかし、セキュリティとプライバシーは同じではありません

LastPassはLogMeInという会社が所有しています。LogMeInはユーザーのセキュリティに高い価値を置いていますが、プライバシーはそこまで重視していません。

LogMeInのプライバシーポリシーによると、LogMeInは、顧客の個人情報と、顧客を完全に非公開にするために使用できるあらゆるデータを保持します。

しかし、同じことがユーザーの行動データにも当てはまるわけではありません。

ユーザーのIPアドレスから、LastPassで最も使用されているサイト、ハードウェアの仕様、場所、さらには言語設定まで、あらゆるものをログに記録。

関連会社やサードパーティの企業と共有して、ユーザー分析を行い、そのユーザー向けにカスタマイズされた広告を提供します。

会社によって従うべきポリシーが異なるので、無料であろうと有料であろうと、パスワードマネージャーアカウントを作成する前に、その会社のプライバシーポリシーと、セキュリティの脆弱性やインシデントの記録を確認しましょう。

万人が気に入るものはないでしょうが、自分のパスワードとデータを委ねる会社が自分と同じ価値観を持っているか確認できます。

パスワードマネージャーの安全性を確認する方法

pw4
Image: MakeUseOf

他のアプリやソフトウェアと同様に、パスワードマネージャーの安全性は、パスワードマネージャーを所有している会社によりますし、ユーザーにどれだけ配慮しているかにもよります。

パスワードマネージャーを選ぶ前に、次のことを自問しましょう。

1.他人からパスワードを見られる可能性があるか

プライバシーとセキュリティの両方の理由から、ゼロ知識ポリシーに従い、エンドツーエンド暗号化を使用しているパスワードマネージャーを探しましょう。

そうすれば、自分のデータは自分が使用するときだけ複合化され、保存中や転送中には復号化されません。

2.データの保存はローカルか、パスワードマネージャーの会社のサーバー上か

パスワードをデバイスにローカルでしか保存しないパスワードマネージャーもあります。この場合、デバイス間の同期が不便になるだけでなく、パスワードを安全に保つのはユーザー次第になります。

しかし、パスワードマネージャーを所有している会社のサーバーに保存される場合と比較すると、標的にされる可能性は低くなります。

3.そのパスワードマネージャーの会社には安心できる記録があるか

しばらく存続してきたテクノロジー企業は、セキュリティインシデントやデータ侵害に一度は苦しむことになります。

特定のパスワードマネージャーにサインアップする前に、そのパスワードマネージャーを所有している会社をGoogleで簡単に検索して、最新のセキュリティインシデントと脆弱性を調べてください。

問題の頻度が高すぎたり深刻過ぎる場合は、別のパスワードマネージャーにしましょう。

4.2要素認証が使用可能か

パスワードマネージャーは、すべてのパスワードを1か所に保存するので、マスターパスワードに加えて2つ目の防御線を追加することが重要です。

2FAテクノロジーは広く利用可能であり、ほとんどのアプリでこのオプションを有効にできます。

2FAが無いパスワードマネージャーは、ユーザーのデータのセキュリティについてそれほど真剣に取り組んでいないのかもしれません。

パスワードマネージャーのアプリはどの程度安全か

パスワードマネージャーは他の方法より安全ですが、その安全性が自分の基準に達しているかどうかは、自分で判断するしかありません。

しかし、すべてのパスワードマネージャーが同じように安全であるとは限りません。

パスワードマネージャーによって、価格、利便性、セキュリティなど、優先している要素が異なるので、何を優先しているパスワードマネージャーを選びたいのかしっかり考えましょう。

あわせて読みたい

「LastPass」の代わりに無料で使えるパスワードマネージャーは?

はじめてのパスワードマネージャーは「RememBear」がオススメ


Source: SB, LogMe

Original Article: How Secure Is a Password Manager, and Are They Safe? by MakeUseOf

swiper-button-prev
swiper-button-next