インターネット安全活用 一灯塾

最新のIT技術を正確に把握することは困難ですが、地道にコツコツ、IT技術に関する情報を発信します

「LastPass」などのパスワード管理ツールに潜む危険性、研究者が指摘! パスワードの管理方法とは?

「LastPass」などのWeb版のパスワード管理ツール、人気があり、以前から使いたいと思っていました。しかし、登録したパスワードが自分の知らないところに保存されるので、何か不安で利用するのをためらっていました。

なお、2014/07/17発表の記事によると、米カリフォルニア大学バークレー校の研究チームが、「LastPass」などの代表的なWeb版のパスワード管理ツールにも欠陥があると報告しています。


やはり、Web版のパスワード管理ツールにも問題があるようです。どんなシステムにも、「100%安全なシステムは無い」という前提で、活用方法を考えたら良いですね。

なお、パスワードが増え管理が大変だから、それを一カ所で管理し、いつでも簡単に使えるようにしよう・・・というのがWeb版のパスワード管理ツールです。

では、一カ所に管理・保管されたパスワード、本当に悪用されたり、盗まれたりしないの?と疑問になります。このような不安や疑問を持っていたら、2014/07/17記載の下記の記事に、『Web版のパスワード管理ツールに潜む危険性、研究者が指摘』とありました。

 Web版のパスワード管理ツールに潜む危険性、研究者が指摘 - CIOニュース:CIO Magazine
 http://itpro.nikkeibp.co.jp/atcl/idg/14/481709/071700003/


カリフォルニア大学バークレー校の研究チームが、Web版のパスワード管理ツールのセキュリティを調査し、懸念を指摘しています。今回調査したパスワード管理ツールは、「LastPass」「RoboForm」「my1login」「PasswordBox」「NeedMyPassword」の5種類。いずれも人気のあるサービスです。

研究チームによると、調査した5種類のツールすべてで欠陥や不備が見つかったそうです。全体として、あまりに多様な脆弱性が見つかったことから、パスワード管理ツールがセキュリティに関して失策を犯していると研究チームは捉えているようです。




■ 100%安全なシステムを構築することは不可能、Web版のパスワード管理ツールは不安


以前聞いた話に、「100%完全なソフトを作ることは不可能」というのがありました。人間がソフトを作り管理している以上、「100%安全なシステムを構築することは不可能」だと思います。

「LastPass」「RoboForm」など、確かに便利なパスワード管理サービスですが、このようなシステムも100%完全ではなく、不備や欠陥は存在すると考えたら良いと思います。


なお、パスワード管理サービス以外のクラウドサービスも同じで、必ず不備や欠陥は存在し、100%安全なシステムはないと思います。

しかし、Webサービスなどのクラウドサービスは、便利な面もたくさんあります。

「100%安全ではない」という前提で、例えば、インターネットには暗号化して保存するとか、2段階認証を設定するなど、活用方法を考えたら良いですね。



■ パスワードをどうやって管理するか?


長年、どうやってパスワードを管理するか考えてきて、今、私が実施している方法を以下に紹介します。なお、これでも100%安全とは言えませんが、少しでも参考になれば幸いです。


(1) 各種ログインID・パスワード一覧を、自分が普段使っているソフトで作成する。
   *この時、ファイル自体にパスワードをかける

(2) (1)で作成したログインID・パスワード一覧を暗号化Zipで圧縮&暗号化する。
   *データの紛失を考え必ず暗号化する

(3) (2)の暗号化Zipファイルを(2段階認証を実施した)オンラインストレージ「Dropbox」に保管する。
   *オンラインストレージ保管なので(1)、(2)で暗号化し、不正ログインを防止するため、

     2段階認証にすることが大事です。


(4) 万が一を考え、大事なログインID・パスワードのみを特別な小型ノートに書込み手元に置いておく。
   *小型ノートの紛失を考え、サービス名・ログインID・パスワードが類推されないよう

    注意する。例えば、パスワードは逆に記載するとか。




(1) 各種ログインID・パスワード一覧作成

私は簡易的なデータベースソフトを使用していますが、例えば、Microsoft表計算ソフト(Excel)や無料のオフィスソフト「LibreOffice」の表計算ソフトでも良いですね。

なお、表計算ソフトを使う場合には、万が一のことを考え、作成したファイルに読み込み時のパスワードを設定することをお勧めします。


(2) 一覧ファイルを暗号化Zipで圧縮&暗号化
私は次の方法で実施しています。暗号化Zip作成は、Windows7以降はOSで対応していないので、次のソフト活用をお勧めします。

  暗号化圧縮形式Zip対応のフリーソフト7-Zip」を活用  *詳しくは補足参照
  

(3) 暗号化Zipファイルをオンラインストレージ「Dropbox」に保管

私は、Dropboxを長年愛用しているので、Dropboxに保管していますが、セキュリティ上、不安な方は「暗号化機能付きのUSBメモリ」でも良いですし、この方が安全かもしれません。

なお、オンラインストレージ「Dropbox」でも、大事なパスワードをインターネットに保管するので、100%安全とはいえませんが、2段階認証しファイルを暗号化すれば、不正アクセスを防ぎ、万が一情報漏洩しても安心できると考えています。

100%安全・安心を実行するには大変な労力と不便さを伴いますね。安全と利便性、どこで折り合いをつけるかを考えることが大事です。



(4) 万が一を考え、大事なログインID・パスワードのみを特別な小型ノートに記録

オンラインストレージ、いつでも安心して使えるとは限りません。そのため、万が一を考え、大事な一部のログインID・パスワードを小型のノート(電話帳みたいなもの)に記載して、手帳と共に常時、持っています。




■ ≪補足≫暗号化圧縮形式Zip対応 フリーソフト7-Zip」の使い方



このソフトは、圧縮・解凍ソフトでは代表的な人気のあるソフトです。専用の形式「7zフォーマット」に対応するほか、各種の圧縮・解凍形式をサポートしています。また、強力な「256AES 暗号化機能」、自己解凍形式、ファイルの分割・結合、テストの実施、お気に入り機能などをサポートしています。

 ダウンロード : http://sevenzip.sourceforge.jp/

7-zipのダウンロードは、32ビット版と64ビット版が用意されているので、環境に合わせてダウンロードしましょう。ちなみに、「32ビットか64ビットか?」は、OSの違いで判断します。

スタートメニューの「プログラム」に「7-Zip File Manager」の項目が追加されますので、これを実行します。または、7zFM(7zFM.exe)をダブルクリックして起動します。7-Zipは”2画面分割”で使うと操作が便利になります。

なお、USBでも使えるポータブルタイプの「7-Zip Portable」もあります。私は、このポータブルタイプをDropboxのフォルダーに保管して利用しています。

 7-Zip Portable: http://portableapps.com/apps/utilities/7-zip_portable