ネット上のセキュリティを強化したいなら、パスワード管理ツールを使うのは賢いやり方です。これについては、以前から米Lifehackerでもご紹介してきましたね。ただし、よく使われる管理ツールは、さまざまなサイトへのパスワードを、ただ1つの「マスター」パスワードで守る仕組みになっています。このパスワードを知っているのは、ユーザー本人だけ。では、万が一マスターパスワードを失くしてしまったら、一体どうなるのでしょうか?

マスターパスワードを紛失、あるいは忘れてしまったら、通常のウェブアカウントのように「パスワードを忘れた場合」ボタンをクリックするだけでは、まず済みません。たいていの場合は、かなり複雑な手順を踏む必要がありますし、それでも問題を解決できない怖れすらあります。この記事では、人気のパスワード管理ツール数種類を例にあげながら、このような困った状況を避けるために何ができるかを考えていきます。

人気のパスワード管理ツール、それぞれのマスターパスワード運用方針

多くのパスワード管理ツールでは、最初に設定する時に、マスターパスワードを記憶しておくことがいかに大事かを警告してきます。まさにこのマスターパスワードこそ、絶対に覚えておかなくてはならないパスワードなのです。要するに、管理ツールのキモはここです。よくできた、強力なパスワードを1つだけ覚えておけば(あるいはしっかりと保存しておけば)、あとはツールが個別のパスワードは管理してくれる、というわけです。

このマスターパスワードを忘れてしまった場合、簡単に復元できるか、それとも悪夢のような体験になるかは、どのパスワード管理ツールを選ぶかによっても変わってきます。ここでは特に人気の高い管理ツールをいくつかピックアップし、マスターパスワードをなくした場合の対応について見ていきましょう。

LastPass』の場合

マスターパスワードをなくした場合に備えて、LastPassではユーザーマニュアルの1項目を割き、アカウントの復元について説明しています。

簡単に言うと、パスワードを完全に忘れた、あるいは紛失してしまった場合は、ワンタイムパスワード(OTP)を使って保管庫(Vault)にアクセスできます。セキュリティ上の理由から、このパスワードが使えるのは1回きりで(あとでパスワードのリセットが必要になります)、以前にLastPassへのログインに使用したことのあるマシンからしかアクセスできません。加えて、LastPassのアカウント作成に用いたメールアカウントにアクセスできる状態でなければなりません。

もし、最近マスターパスワードを変更したばかりで、ログインできない場合は、保管庫を元の状態に復元できます。以前のパスワードを使ってアクセスできますが、新しいパスワードにして以降の変更点はすべてなかったことになってしまいます。もちろん、これらの復元手法はすべて、あなたがマスターパスワードは忘れているけれど、LastPassのアカウントにひも付けされたメールアカウントを覚えている(もしくはアクセス可能な状態にある)ことが前提です。場合によっては、ここでお手上げになってしまうかもしれません。

今説明した復元方法がうまくいかなかった、あるいはアカウント作成に使ったメールアドレスにもはやアクセスできない場合は、残念ですが万事休すで、そのアカウントは使えなくなります。保管庫を削除してイチからやり直すことは可能ですが、今までのパスワードはすべて失われ、まっさらな状態から再び設定を行う必要があります。

Dashlane』の場合

『Dashlane』はLastPassよりも多少制約が強いのですが、これには良い面と悪い面があります。要するに、Dashlane側のいかなる人間も、ユーザーのアカウントにアクセスしたり、アクセス権を与えたりできない仕組みなのです。

これはつまり、ユーザーがマスターパスワードを忘れたら、その人の保管庫は永久にロックされたままとなる、ということです。保管庫が複数のデバイスで同期されている場合や、クラウドに保存されている場合でも、この点は変わりません。

Dashlaneのモバイルアプリを使っていて、端末用のPINコードを設定している(加えて、端末の再起動時のみパスワードを入力する設定にしてある)場合は、このアプリ経由でアクセスして個別のパスワードを書き留める方法が使えるかもしれません。ただし、モバイルアプリからはマスターパスワードの変更はできません。

この方法が使えなければ、新しくアカウントを作るか、これまでのアカウントをリセットする(こちらの方法なら今までと同じメールアドレスが使えます)か、2つに1つです。どちらにしても、既存アカウントのデータはすべて消去されますから、やはりゼロからの再設定が必要です。

このような運用は厳格すぎるようにも思えますが、パスワード管理ツールとしては、これは評価できる方針です。確かに不便かもしれませんが、この方法であれば、誰かがソーシャルエンジニアリングの手法(セキュリティ・システムを迂回するテクニック)を用いて、あなたのアカウントに不正アクセスしようとしても、不可能だからです。

KeePass』の場合

『KeePass』では、ユーザーは自分の保管庫を守る方法として、マスターパスワードと「キーファイル」のいずれか、あるいは両方を選べます。パスワード保管庫はユーザーのマシンに常に保存されているので、第三者が勝手にアクセスする心配はありません。DropboxやGoogle Driveを使えばデバイス間の同期も可能です。この場合、保管庫を開くにはパスワードかキーファイルが必要になります。

ただ、ここに落とし穴があります。KeePassはオープンソースのフリーソフトで、特定のチームが一元的にサポートを担っているわけではありません。そのため、マスターパスワードやキーファイルをなくしてしまったら、もうお手上げです。

ほかのアクセス方法やパスワードリセット機能は用意されていません。パスワードを変更してアクセスできなくなったけれど、変更前の保管庫のバックアップがある、という場合は、バックアップから復元して変更前のパスワードでアクセスできます。さらに詳しい情報については、こちらをご参照ください。

パスワードを思い出せないので、自分のKeePassデータベースを「クラッキング」しようと考える人もいるかもしれません。でもこれはお勧めできる方法ではありません。KeePassには総当たり攻撃(暗号解読方法のひとつ)やパスワードの割り出しに対する保護機能が内蔵されています。

パスワード解析の方法を教えるチュートリアルもありますが、それまで使っていたマスターパスワードやキーファイルが強力だった場合(そうでなくてはおかしいのですが)、こうすれば解読できるという秘密の方法などない、というのが大方の専門家の見解です。加えて言うならば、現実的に時間と労力に見合いません。選択肢のひとつではありますが、まったくお勧めできません。

1Password』の場合

『1Password』も、パスワード保管庫へのアクセスについてはDashlaneとよく似たアプローチを採用しています。管理側にはユーザー保管庫や暗号キーへのアクセス権がないので、パスワードのリセットやデータへのアクセスを許可する方法がそもそも存在しないのです。1Passwordがこのような方針を採る理由については、こちらに説明があります。

また、マスターパスワードがはねられてしまう場合に試すべき方法について書かれたこちらのページも役に立つかもしれません。とはいえ、ここに説明されている内容は、煎じ詰めれば、Dashlaneの場合と同じです。以前のパスワードを覚えていて、その時点でのバックアップを復元可能なら、それを実行するという方法はありますが、その場合、新しいパスワードに変えてから今までの変更部分はすべて失われてしまいますよ、というわけです。

別のデバイスで1Passwordにログインしたままの状態になっている場合、そちらから個別のパスワードを確認して保存できるかもしれません。でも、再ログインの際にマスターパスワードの入力を求められたら、もうおしまいです。なお、1Passwordではアカウントへの2段階認証をサポートしていないので、2段階目の認証に使用していたデバイスをなくしたせいでアクセスできなくなる、という問題は起きません(その分、攻撃からの防御は薄くなりますが)。いずれにせよ、パスワードをなくしたらお手上げ、という意味では結果は同じです。

Roboform』の場合

『Roboform』はかなり古くからあるパスワード管理ツールですが、マスターパスワードを忘れた場合は、ほかのアプリと同じで対処のしようがありません。この方針を採る理由については、RoboformのFAQページにより詳しい説明がありますが、要するに、Roboformからログアウトしている時にマスターパスワードを忘れたら、リセットは可能ですが、その際には全データが消去されるということです。

ただし、常にマスターパスワードのキャッシュを残す設定にしていた場合には、このような状況には陥らないはずです(ソフトウェアのアップデートや再インストールなどのためにログアウトした場合は、話は別です)。Roboformの場合、パスワード保護されているデータとされていないデータがありますが、いずれにせよ、ログアウトして再ログインが不可能なら、ゼロから設定をやり直すしかありあません。

マスターパスワードの紛失を防ぐには

ここまで読めば、この記事のテーマはもうおわかりですね。万が一マスターパスワードをなくしたら、大変な目に遭うということです。たいていのパスワード管理ツールでは、パスワードを忘れる前にバックアップを取っておくよう推奨しており、それがなければゼロからやり直しです。あとでパスワード保管庫にアクセスする道筋を確保しておくには、今のうちの準備が肝心です。手遅れになる前に、できることはいくつかあります。

バックアップコードとワンタイムパスワードを書き留めるかエクスポートしておく

多くのパスワード管理ツールは、まさかの時に使用可能なバックアップコードなどのワンタイムパスワード機能を持っています。こうしたコードは通常、アカウント設定時などに1度だけ表示されます。あるいは、必要になった時に生成できるものもあります。

このコードはパスワード変更や、アカウントに再ログインするための手段となりますが、そのためにはまず、コードを書き留めておくか、パスワード保管庫以外の安全な場所に保存する必要があります。ワンタイムパスワードの仕組みは、2段階認証の設定に使った携帯電話を紛失した場合の対処方法にかなり似ています。今のうちにこれらのコードをエクスポートして、安全な場所にしまっておけば、あとでパスワードをなくした時もデータにアクセスできます。

マスターパスワードを書き留め、安全な場所に保管する

通常であれば、パスワードを書き留めることはお勧めしません。なんといっても、マスターパスワードはほかのすべてのパスワードの鍵になるものですからね。当然ですが、誰でも思いつきそうな場所に保管してはいけません。

とはいえ、パスワードを書き留めて安全な場所に保管しておけば、うっかり忘れてしまったなど、不測の事態が起きた時の備えとして価値があります。暗号化してファイルに保存しておく手もありますが、その場合は暗号化キーが必要になるので、「暗号化された情報を復号するために必要なものを暗号化する」という、何だかよくわからないことになってしまいます。

さらにはパスワードを書き留めた紙を耐火金庫にしまっておく方法もあります。ただ、この方法が役に立つのは、想定もしないような事態が起きて、あなた自身がパスワードを忘れてしまったけれど、パスワードを保管しておいた場所だけは覚えている、という場合だけです。

「緊急連絡先」機能を活用する

愛用のパスワード管理ツールにパスワード共有や緊急連絡先の機能があるなら、必ず連絡先の設定をしておきましょう。例えばDashlaneなら、あなたが万が一保管庫にアクセスできなくなった場合に、代わりにログインできる人を設定しておけます。

この機能は一般的に、急病のような状況を想定したものですが、パスワードを忘れた場合にも使えます。パスワードをリセットして、もとのようにログイン可能にしてくれるわけではないですが、アカウントにアクセスはできますから、これだけでも十分でしょう。この機能の助けを借りれば、設定されている個別のパスワードを書き留めたり、エクスポートしたり、リセットしたりできるはずです。

アクセス可能なうちにパスワードをエクスポートする

サービスを選ぶ時には、「データの自由」を与えてくれるものを選ぶのが肝心です。これはすなわち、サービスが終了したり、あるいは新しいサービスを試したくなった時に、簡単に自分のデータをエクスポートして、手元に置ける自由です。パスワード管理ツールを選ぶ時には、この選択肢が用意されているかを必ず確認してください。そこまでの自由はなくても、何らかのエクスポート機能は用意されているはずです。

アカウントのユーザーIDとパスワードを一覧にしたプレーンテキストのCSVファイルをデスクトップに生成するだけのものかもしれませんが、これができるなら、データをエクスポートして、安全な場所に保存しておきましょう。ただしこの方法には、明確な欠点があります。パスワードを変更した場合には、再度新たなファイルを生成しなければいけなくなることです。

加えて、ファイルが暗号化されていない場合は、安全な場所にしまっておけるUSBメモリなど、セキュアなところに保存する必要が出てきます。このファイルを別の方法で暗号化しようと思う人もいるかもしれませんが、それだと新たにパスワードが必要になってしまいます。いずれにせよ、保管庫にアクセスできなくなったら、数日前の時点のパスワードを記録したファイルがあるだけでも、何もないよりマシです。

データのバックアップ

これもパスワード保管庫を安全なところにバックアップしておくのと同類の話ですが、一般論として、すべてのデータを必ずバックアップしておきましょう。ハードドライブの外に確実なバックアップを取っておくことはいわゆるベストプラクティスですが、大多数のパスワード管理ツールは、暗号化したデータをローカル保存してくれるだけです。バックアップを使って以前のバージョンのアプリとファイルを復元すれば、以前のパスワードを使ってログインが可能です(以前のバージョンに戻ってしまいますが、ゼロになるよりは良いでしょう)。

この方法が実際に役に立つのは、マスターパスワードを変更したら、古いほうでも新しいほうでもログインできなくなった、というケースのみです。とはいえ、古いバージョンに巻き戻す方法は、人気のあるどのパスワード管理ツールでも、カスタマーサポートで広く勧められているものです。

当然ながら、パスワードの紛失に備える一番良いタイミングは、失くす前です。また、言うまでもないことですが、マスターパスワードを安全な場所にバックアップすることに決めた場合でも、パスワードを紛失したり、放置したりしないよう、気をつけなくてはなりません。こうしたことを踏まえて、いざという時に備えておけば、この記事で紹介した方法がおおむね役に立って、ある程度の復元が可能になるくれるはずです。

いずれにせよ、パスワード管理ツールは、電子メールやインターネットバンキングのアカウントとは、まったく別物だということを理解してください。運営側からメールが送られてきて、パスワードをリセットすればすべて解決、というわけにはいきません。こうした管理ツールの多くは、「ツールを使ってすべてのパスワードのセキュリティを高めておくほど賢明な人なら、保管庫にいつでもアクセスできるよう手を打っているものだ」という前提に立っているのです。

Alan Henry(原文/訳:長谷 睦/ガリレオ)

Photo by Shutterstock.