\r\n\r\n
パスワード・マネージャーを設定する手間を惜しまなければ、ハッカーやサイバー犯罪者の詮索から安全だと思うかもしれません。
あなたは間違っています。
確かにパスワード管理ツールは、自分自身を守るための継続的な戦いにおける貴重なツールですが、フェイルセーフやフールプルーフではありませんし、自分自身を十分に保護するものではありません。
ここでは、パスワードの安全性を保つためにパスワードマネージャーだけでは不十分な4つの理由を説明します。
パスワードマネージャーは安全性が高いのか?はい。厳重な暗号化・暗証化システムを導入しているか?はい。このシステムをクラックして、何百万人ものユーザーのパスワードにアクセスできたハッカーはいないと断言できますか?
いいえ。
考えてみてください。パスワード管理サービスは、ハッカーにとって非常に魅力的な存在なのです。パスワードの金庫の外壁を破ることができれば、無限の財宝を手に入れることができるのだ。彼らはこれからも侵入を試みてくるでしょう。それは避けられないことです。
LastPassを例にとって説明しましょう。過去5年間に2度、サイバー犯罪者がサーバーを攻撃しています。その都度、同社は、ユーザーがアカウントのマスターパスワードを変更するだけで、パスワード保管庫は安全に保たれると主張してきました。
不正アクセスは時間の問題?
2014年、セキュリティ研究者は、LastPass、RoboForm、My1login、PasswordBox、NeedMyPasswordのすべてに、いくつかの危険なセキュリティ欠陥があることを発見しました。
最も懸念される欠陥は、ハッカーがブックマークレットを使って、ユーザーや会社が問題に気づくことなく、LastPassユーザーから直接平文のパスワードを盗み出すことができるという点です。
LastPassのもう一つの欠陥は、サイト上の悪意のあるコードが、ハッカーがユーザーの電子メールアドレスを知っている限り、ユーザーの暗号化されたパスワードのベース全体を盗むことができるということです。
RoboForm、My1login、PasswordBox、NeedMyPasswordのいずれも、攻撃者がユーザーのフルネーム、ユーザー名、パスワードが入力されたあらゆるURLを盗むことができる脆弱性など、同様に深刻な欠陥があります。
サービスプロバイダーが穴を直してくれたのはありがたいが、これで完璧になったと思うのは愚かなことだ。まだ未発見のバグがあることはほぼ間違いなく、誰かが見つけてくれるのを待っているのです。
安全でないパスワードマネージャーが広く採用されると、ウェブ認証のエコシステムに新たな未検証の単一障害点が加わることになり、事態はさらに悪化する可能性があります--Zhiwei Li, Warren He, Devdatta Akhawe, and Dawn Song, The Emperor's New Password Managerの作者。Webベースのパスワードマネージャのセキュリティ分析
最終的に、あなたは最も重要な詳細のいくつかをパスワードマネージャの手に委ねている。それは1つのバスケットにすべての卵を置くことは賢明ではありません。
今回取り上げた5つのサービスは、すべてウェブベースのサービスであることに注目してほしい。ローカルベースのパスワードマネージャー(KeePassや1Passwordなど)を使用している場合は、間違ったセキュリティ意識にとらわれないようにしてください。この研究では、Webベースのオプションにのみ焦点を当てています。
クラウドベースの管理者よりもローカル管理者の方が本質的に安全だという認識がある。ハッカーが侵入してデータベースを盗むのは難しい。
しかし、彼らは馬鹿ではありません。キーロガー、公衆Wi-Fiネットワークに潜むハッカー、無数に存在するマルウェアなど、デスクトップユーザーが直面するセキュリティの脅威は周知のとおりです。不幸にも攻撃を受けてしまった場合、ローカルに保存されているパスワードデータベースがハッカーに最初に盗まれる可能性があります。
データベースがモバイル端末に保存されている場合はどうでしょうか?端末を紛失すると、簡単に悪意のある人の手に渡ってしまう可能性があります。確かに暗号化されていますが、データベースにアクセスするためにマスターパスワードや指紋だけが必要なようにアプリを設定すれば、暗号化の意味がありません。
まだ簡単にしか触れていませんがパスワードマネージャーには、調整可能な多くの設定があり、中にはより安全なサービスを提供するものもあります。しかし、その多くは利便性を追求したものであり、それらを有効にすると、より攻撃されやすくなります。
例えば、データ保管庫内の誰かの認証情報にアクセスしようとしたとき、LastPassは自動的にマスターパスワードの入力を促さない(設定 > 詳細設定 > マスターパスワードの再プロンプト)。
また、ほとんどのサービスのモバイルアプリでは、ログインに成功するたびに、最大24時間、指紋認証やパスワード認証を無効にすることができます。やめてください。数回のクリックを節約するために、オンライン・バンキングを24時間ログインしたままにしておきますか?
もちろん、サービス内蔵の共有サービスを利用するためにパスワードを共有する相手には注意が必要です。もしかしたら、その相手の設定によってあなたのアカウントがバレてしまうかもしれませんよ?友人や家族にもセキュリティリスクを周知徹底する。
近道はせず、時間をかけてサービスの詳細設定を検討し、可能な限り堅牢にすることです。
パスワードマネージャーは、すべての情報をExcelのワークシートに保存したり、各サイトで同じ認証情報を使用したりするよりも優れているのでしょうか?間違いない。しかし、あなたが信じたいと思うほど安全かどうかは議論の余地があります。
利便性と安全性の両面から、ほとんどの人が利用しています。しかし、そうすることで、自分自身を妥協してしまう危険性があるのです。使うのを止めろとは言わないが、慎重に進めることだ。例えば、パスワードを複数の管理者に分けた方がいいのでは?
要は、自分の頭脳に代わるものはない、ということを忘れないでください。ログインのたびに少しずつ微調整する強力なコードを作成できれば、どんなパスワードマネージャーよりも高いセキュリティを提供することができます。
パスワードマネージャーを信頼しているか、以下のコメントで教えてください。