スマホやパソコンのパスワード管理サービスには重大な欠陥が専門家から報告されています。
スマホの「1Password」や「LastPass」などのパスワードマネージャーアプリ、パソコンの「LastPass」「RoboForm」などのパスワード管理サービス、簡単で便利ですよと、インターネットや雑誌などでよく紹介されています。
しかし、本当に安全なのでしょうか?
私も何度か利用しようとしましたが、自分が知らないところに管理・保管されたパスワード、本当に悪用されたり、盗まれたりしないの?と疑問に思うことがあり、これまで利用していません。
実は、2017年3月に、ドイツのセキュリティ研究者によると、スマホの「1Password」や「LastPass」などのパスワードマネージャーアプリには、重大な欠陥があると報告されています。
「1Password」や「LastPass」など9つのパスワードマネージャーに情報漏えいのリスク
http://gigazine.net/news/20170302-9-password-manager-leaking-secret/
また、2014年には、アメリカの研究者が、Web版の「LastPass」「RoboForm」などのパスワード管理ツールに潜む危険性を指摘しています。
Web版のパスワード管理ツールに潜む危険性、研究者が指摘 - CIOニュース
http://itpro.nikkeibp.co.jp/atcl/idg/14/481709/071700003/
これまで、スマホのパスワードマネージャーアプリや、パソコンのパスワード管理ツールを使っている人は要注意です。
大事なパスワードを、これらのサービスに預けるのは、”自分の大事なものを知らない人の金庫に預ける”のと同じ気がします。
少々、めんどうでも、自分なりに工夫して、パスワードをノートに記録したり、データにまとめ暗号化し、紛失やデータの流出に注意して、管理するほうが一番安全かもしれません。
■Google Playで人気の高い9つのパスワードマネージャーアプリに重大な脆弱性(欠陥)
なお、パスワードマネージャーの重大な欠陥の詳しい内容は、 以下の記事に紹介されています。
2017年03月02日
「1Password」や「LastPass」など9つの人気パスワードマネージャーに情報漏えいのリスクがあると報じられる - GIGAZINE
http://gigazine.net/news/20170302-9-password-manager-leaking-secret/
この記事によると、ドイツのセキュリティ研究者が、Google Playで人気の高いパスワードマネージャーアプリを調査した結果、重大な脆弱性(欠陥)があり、ユーザーIDやパスワードといった認証情報を漏らしてしまう可能性があることを発見しています。
調査したのは、Google Playで人気の高い9つのパスワードマネージャーアプリ
「LastPass」「Keeper」「1Password」「My Passwords」「Dashlane Password Manager」「Password Manager」「F-Secure KEY」「Keepsafe」「Avast Passwords」
テスト結果、9つのアプリで合計26件の脆弱性(欠陥)を発見し、それぞれ1つ以上の脆弱性を持つことが明らかになったそうです。
■Web版のパスワード管理ツールにも欠陥や不備
なお、2014年の下記の記事に、『Web版のパスワード管理ツールに潜む危険性、研究者が指摘』とあります。
2014年07月17日
Web版のパスワード管理ツールに潜む危険性、研究者が指摘 - CIOニュース:CIO Magazine
http://itpro.nikkeibp.co.jp/atcl/idg/14/481709/071700003/
米カリフォルニア大学バークレー校の研究チームが、Web版のパスワード管理ツールのセキュリティを調査し、懸念を指摘しています。
調査したパスワード管理ツールは、「LastPass」「RoboForm」「my1login」「PasswordBox」「NeedMyPassword」の5種類。いずれも人気のあるサービスです。
研究チームによると、調査した5種類のツールすべてで欠陥や不備が見つかったそうです。全体として、あまりに多様な脆弱性が見つかったことから、パスワード管理ツールがセキュリティに関して失策を犯していると研究チームは捉えているようです。
■
■ パスワード管理サービスを使わないパスワード管理方法
■
長年、どうやってパスワードを管理するか考えてきて、今、私が実施している方法を以下に紹介します。
(1) パスワードを紙のメモに記録
(2) パスワードをデータにまとめ暗号化
(3) 暗号化したパスワードデータをオンラインストレージまたはUSB(暗号化機能付き)に保管
詳しい内容を以下に説明します。
■(1) パスワードを紙のメモに記録
IDとパスワードを紙のメモに記載して保管します。この方法、紛失のリスクもあり、最初は不安でしたが、実行してみると簡単で便利な方法です。
ただし、紛失したときの危険性を考え、IDとパスワードを別々の紙に分けて管理すると安全です。
もし、ID・パスワードを一緒に記載する場合は、パスワードの書き方を工夫し、万が一、見られても類推されないように注意することが必要ですね。
私は、大事な一部のID・パスワードを小型のノート(電話帳みたいなもの)に記載して、手帳と共に常時、持っています。
■(2) パスワードをデータにまとめ暗号化して保管
IDとパスワードを記載したデータを暗号化して保管します。
例えば、Microsoftの表計算ソフト(Excel)で作成し、読み込み時のパスワードを設定すると暗号化され安全になります。詳しくは以下を参照ください。
Officeのパスワード使っていますか? パスワードで暗号化すれば安全に
http://lifesecurityup.blogspot.com/2015/09/office201320102007.html
また、テキスト形式で作成し、それを暗号化Zipで圧縮&暗号化しても良いです。暗号化Zipには、フリーソフト「7-Zip」が便利です(《補足1》参照)。
■(3) 暗号化したパスワードのデータをオンラインストレージまたはUSB(暗号化機能付き)に保管
私は、Dropboxを長年愛用しているので、暗号化したパスワードのデータをDropboxに保管していますが、セキュリティ上、不安な方は「暗号化機能付きのUSBメモリ」でも良いです。
なお、オンラインストレージを利用する場合、2段階認証にして不正アクセスを防ぐことが大事です。詳しくは《補足2》を参照してください。
《補足1》暗号化圧縮形式Zip対応 フリーソフト「7-Zip」の使い方
このソフトは、圧縮・解凍ソフトでは代表的な人気のあるソフトです。専用の形式「7zフォーマット」に対応するほか、各種の圧縮・解凍形式をサポートしています。また、強力な「256AES 暗号化機能」、自己解凍形式、ファイルの分割・結合、テストの実施、お気に入り機能などをサポートしています。
ダウンロード : http://sevenzip.sourceforge.jp/
7-zipのダウンロードは、32ビット版と64ビット版が用意されているので、環境に合わせてダウンロードしましょう。ちなみに、「32ビットか64ビットか?」は、OSの違いで判断します。
インストール後、7zFM(7zFM.exe)をダブルクリックして起動します。”2画面分割”で使うと操作が便利になります。
なお、USBでも使えるポータブルタイプの「7-Zip Portable」もあります。私は、このポータブルタイプをDropboxのフォルダーに保管して利用しています。
7-Zip Portable: http://portableapps.com/apps/utilities/7-zip_portable
《補足2》オンラインストレージサービスの不正アクセス対策に、2段階認証を活用
オンラインストレージサービスの中には、自分の大切なデータがたくさんあり、不正アクセスされ悪用されると、とても危険です。
2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。
次のブログに、Google、Dropbox、Microsoftの”2段階認証”の方法をまとめていますので、参考にして下さい。
Googleの”2段階認証”について
http://lifesecurityup.blogspot.com/2014/09/500google2.html
Dropboxの”2段階認証”について
http://lifesecurityup.blogspot.com/2014/10/dropboxid.html
Microsoftの”2段階認証”について
http://lifesecurityup.blogspot.jp/2015/08/microsoft2.html
