パスワードマネージャー入門
7年連続で「123456」と「password」という2つのパスワードが使われています。問題は、私たちのほとんどが何が良いパスワードになるのかを知らず、とにかく何百ものパスワードを覚えていないということです。
ブラウザのパスワードマネージャーを使わない理由
ほとんどのウェブブラウザには、少なくとも初歩的なパスワード管理機能が備わっています。Google Chrome や Mozilla Firefox がパスワードを保存するかどうかを尋ねたときに利用するのがこれです。これは、どこでも同じパスワードを再利用するよりは良いのですが、ブラウザベースのパスワードマネージャーには限界があります。
セキュリティの専門家が専用のパスワードマネージャの使用を推奨する理由は、「特化していること」にあります。ウェブブラウザには他の優先事項があり、パスワードマネージャーを改善するための時間があまり残されていません。たとえば、ほとんどのブラウザは強力なパスワードを生成してくれず、「123456」のままになってしまいます。専用のパスワードマネージャーは、単一の目標を持っており、何年も前から便利な機能を追加してきました。理想的には、これがより良いセキュリティにつながります。
ベストのパスワードマネージャー
1Password
1Passwordは、Appleを中心としたパスワードソリューションとしてスタートしましたが、その後、iOS, Android, Windows, ChromeOSを含むように提供範囲を広げています。どこでも動作するコマンドラインツールもあり、同社はLinux用のネイティブクライアントのプレビューリリースを発表したばかりです。お気に入りのウェブブラウザ用のプラグインもあり、その場で新しいパスワードを簡単に生成して編集することができます。
1Passwordの特徴は、多くの追加機能を提供していることです。パスワードの管理だけでなく、Google Authenticatorのような認証アプリとしても機能し、さらにセキュリティを高めるために、使用する暗号化キーに秘密鍵を作成します(欠点は、このキーを紛失した場合、誰も、1Passwordでさえも、パスワードを解読することができないということです)。
1Passwordが最高の体験を提供するもう一つの理由は、他のモバイルアプリとの緊密な統合です。パスワードマネージャーから他のアプリにパスワードをコピー&ペーストする必要がない代わりに、1Passwordは多くのアプリと統合されており、自動入力が可能です。これはアプリ間の通信が制限されているiOSではより顕著です。
私が1Passwordを気に入っているもう一つの理由は、旅行前にデバイスから機密データを削除し、国境を越えた後にワンクリックで復元できるトラベルモードです。これにより、誰でも、たとえ国境の法執行機関であっても、あなたの完全なパスワードの保管場所にアクセスすることができなくなります。
1Passwordには30日間の無料トライアルがあるので、コミットする前に試してみることができます。1Passwordは月額3ドル(年間36ドル、家族では年間60ドル)です。
サインアップ後、Windows、MacOS、Android、iOS、ChromeOS、Linux用のアプリをダウンロードします。また、Firefox、Chrome、Edge用のブラウザ拡張機能もあります。
ベストの無料パスワードマネージャー
Bitwarden
Bitwardenは、オープンソース・ソフトウェアを支持する人々の間で人気のある選択肢となっています。数ヶ月使ってみて、その理由がよくわかりました。Bitwardenは無料で制限がなく、私たちのトップピックと同じくらい洗練されていてユーザーフレンドリーだからです。
Bitwardenを動かしているコードは、誰でも自由に検査したり、欠陥を探し出したり、修正したりすることができます。理論的には、コードを見る人が増えれば増えるほど、より機密性が高くなります。また、Bitwardenは、2020年に向けて第三者機関による監査を受けており、安全性を確保しています。自分でクラウドを運用したい場合は、自分のサーバーにインストールして簡単にセルフホスティングすることができます。
Android、iOS、Windows、MacOS、Linux用のアプリがあり、すべての主要なウェブブラウザ用の拡張機能に加え、Opera、Brave、Vivaldiなどのあまり一般的ではないオプションがあります(これらはすべてChrome拡張機能をサポートしています)。Bitwardenは最近、WindowsとmacOS用のデスクトップアプリにWindows HelloとTouch IDのサポートを追加し、これらの生体認証システムのセキュリティを強化しました。
ユーザーの評判が高いもうひとつの理由は、BitWardenの半自動パスワード入力ツールです。あなたがクレデンシャルを保存したサイトを訪問すると、Bitwardenのブラウザアイコンにそのサイトから保存したクレデンシャルの数が表示されます。アイコンをクリックすると、どのアカウントを使用するかを尋ねてきて、ログインフォームに自動的に入力してくれます。これにより、ユーザー名の切り替えが容易になり、このガイドの一番下で述べた自動入力の落とし穴を回避することができます。完全に自動化されたフォーム入力が必要な場合、Bitwardenはそれにも対応しています。
Bitwardenは有料のアップグレードアカウントを提供しています。一番安いBitwarden Premiumは年間10ドルです。これは、1GBの暗号化ファイルストレージ、YubiKey、FIDO U2F、Duoのようなデバイスを使用した2要素認証、パスワード衛生と金庫の健全性レポートを取得します。また、有料の場合は、優先的にカスタマーサポートを受けることができます。
Bitwardenは無料で利用できます。
サインアップ後、Windows、MacOS、Android、iOS、Linux用のアプリをダウンロードしてください。また、Firefox、Chrome、Safari、Edge、Vivaldi、Brave用のブラウザ拡張機能もあります。
ベストのフル装備マネージャー
Dashlane
最近のアップデート、特にDashlane 6では、他では見られない機能がいくつか追加されています。その中でも特に優れているのが、サイト侵害アラートです。Dashlaneは、ウェブの闇のコーナーを積極的に監視し、個人データの流出や盗難を探し、あなたの情報が漏洩した場合には警告を発します。
デスクトップクライアントは操作が簡単で、モバイルアプリを使えばどこからでも簡単にデータにアクセスできますが、プレミアム版(月額5ドル)を購入しないとデバイス間での同期はできません。それでも、設定は簡単で、パスワードを暗号化するために秘密鍵を使用します。
また、Dashlaneのサーバーにパスワードデータを保存しないオプションも気に入っています。この機能を使用すると、デバイス間でのパスワード保管庫の管理と同期は自分の責任になります。便利ではありませんが、パスワードはあなたの手元に残ります。これは 1Password や LastPass ではできません。プレミアムプランには、無料の VPN など、他のサービスにはない素敵な特典があります。
Dashlane Premium の料金は、個人向けには月額 5 ドル (年間 60 ドル)、家族向けには月額 7.50 ドル (最大 5 人までのユーザー) となっています。また、Premium Plusもあり、こちらは個人向けに月額10ドル(年間120ドル)、家族向けに月額15ドルとなっています。このアップグレードには、個人情報の盗難対策とリカバリーツールが含まれています。Dashlane はどちらのプランでも 30 日間の無料トライアルを提供しているので、契約前に試してみることができます。
Dashlane Premium(推奨)は月額5ドル(年間60ドル)です。
サインアップ後、Windows、MacOS、Android、iOS、Linux用のアプリをダウンロードしてください。また、Firefox、Chrome、Edge用のブラウザ拡張機能もあります。
ベストDIYオプション(セルフホスティング)
KeePassXC
クラウド上のデータをより管理したいと考えている場合は、KeePassXCのようなデスクトップアプリケーションを使ってみましょう。KeePassXCは、すべてのパスワードの暗号化されたバージョンを暗号化されたデジタル金庫に保存し、マスターパスワードやキーファイル、またはその両方で保護します。違いは、1Passwordのようなホスティングサービスが同期してくれるのではなく、DropboxやEdward Snowden の推奨サービスである「SpiderOak」のようなファイル同期サービスを使って、自分でデータベースファイルを同期することです。ファイルがクラウドに保存されると、KeePassXCクライアントを搭載したデバイスであれば、どのデバイスからでもファイルにアクセスできます。
なぜ自分でやるのか一言で言えば、透明性です。Bitwardenと同様に、KeepassXCもオープンソースであるため、そのコードに重大な欠陥がないかどうかを検査することができます。
KeePassXCは無料で利用できます。
Windows、MacOS、Linux用のデスクトップアプリをダウンロードして、金庫を作成します。FirefoxやChrome用の拡張機能もありますが、Edge用はありません。スマホ用の公式アプリもありません。代わりに、プロジェクトではKeePass2AndroidやStrongbox for iPhoneを推奨しています。
新入りのパスワードマネージャー
NordPass:
NordPass はパスワードマネージャブロックの中では比較的新しい会社ですが、重要な血統を持つ会社から来ています。NordVPN はよく知られた VPN プロバイダであり、同社のパスワードマネージャには使いやすさとシンプルさで人気のある VPN 提供を実現しています。インストールとセットアップのプロセスは簡単です。あらゆる主要なプラットフォーム(Linuxを含む)、ブラウザ、デバイス用のアプリがあります。
無料版のNordPassは1つのデバイスに限定されており、同期機能はありません。プレミアムバージョンの7日間の無料トライアルがあります。デバイスの同期をテストすることができます。しかし、良いことにそれを取得するには、年間36ドルのプランにアップグレードする必要があります。そのVPNサービスのように、NordPassは、暗号通貨での支払いを受け付けます。
私たちの他のお気に入りのように, NordPassは、それが会社のサーバーにアップロードされる前に、すべてのデータがデバイス上で暗号化されているゼロ知識のセットアップを使用しています。他の良い機能としては、アカウントにサインインするための二要素認証のサポートと内蔵のパスワードジェネレータ(パスワードに変な要件を設定するようなデザインの悪いサイトを処理するためのオプションがたくさんあります)があります。
同社はまた、最近個人情報保存機能を導入し、住所、電話番号、その他の個人データを安全かつセキュアに保ちつつ、簡単にアクセスできるようにしました。
NordPassは無料ですが、プレミアムプラン($36/年)にアップグレードすることをお勧めします。
サインアップ後、Windows、MacOS、Android、iOS、Linux用のアプリをダウンロードしてください。また、Firefox、Chrome、Edge用のブラウザ拡張機能もあります。
パスワードマネージャーの基本
優れたパスワードマネージャーは、ボタンを押すだけでパスワードを保存、生成、更新してくれます。月に数ドルの出費であれば、パスワードマネージャーを使えば、すべてのデバイスでパスワードを同期させることができます。その仕組みは以下の通りです。
覚えておくべきパスワードは一つだけ。すべてのパスワードにアクセスするには、1つのパスワードを覚えておく必要があります。パスワードマネージャにそれを入力すると、実際のパスワードがすべて入っている金庫のロックが解除されます。パスワードを一つだけ覚えればいいのは素晴らしいことですが、その一つのパスワードには多くのことがかかっていることを意味します。それが良いものであることを確認してください。
もしあなたがすべてを支配する一つのパスワードを思いつくのに苦労しているのであれば、より良いパスワードセキュリティのためのガイドをチェックしてください。また、強力なマスターパスワードを生成するためのDicewareメソッドの使用を検討してみてはいかがでしょうか。
アプリと拡張機能。ほとんどのパスワードマネージャーは、単一のソフトウェアではなく、完全なシステムです。アプリやブラウザの拡張機能で構成されており、それぞれのデバイス(Windows、Mac、Android携帯電話、iPhone、タブレット)に対応しており、安全なパスワードを作成したり、安全に保存したり、既存のパスワードの安全性を評価したりするためのツールを備えています。これらの情報はすべて中央サーバーに送られ、パスワードは暗号化され、保存され、デバイス間で共有されます。
漏洩したパスワードを修正する。パスワードマネージャーは、より安全なパスワードを作成し、詮索者から安全なパスワードを守ることができますが、ウェブサイト自体が破られた場合、パスワードを保護することはできません。それは彼らがしかし、このシナリオでは役に立たないという意味ではありません。ここで紹介するクラウドベースのパスワード管理ツールはすべて、漏洩の可能性のあるパスワードを警告するツールを提供しています。また、パスワードマネージャーは、漏洩したパスワードを簡単に変更したり、パスワードを検索して漏洩したコードを再利用していないことを確認したりすることもできます。
自動フォーム入力を無効にするべきです。パスワードマネージャーの中には、自動的に入力してくれるものもあれば、ウェブフォームを提出してくれるものもあります。これは非常に便利ですが、さらなるセキュリティのために、この機能を無効にすることをお勧めします。ブラウザでフォームを自動的に記入することは、過去にパスワードマネージャーを攻撃に対して脆弱にしてきました。この理由から、私たちのお気に入りのパスワードマネージャーである 1Password は、この機能をオプトインする必要があります。私たちはそうしないことをお勧めします。
ハッキングについて慌てないでください。ソフトウェアにはバグがあります。問題は、パスワードマネージャに欠陥があることが知られたらどうするかではなく、パスワードマネージャに欠陥があることが知られたらどうするかということです。答えは、まず、パニックにならないことです。通常、バグは自然に悪用される前に発見され、報告され、修正されます。誰かがあなたのパスワードマネージャーのサーバーにアクセスすることができたとしても、あなたはまだ大丈夫です。私たちがリストアップしているサービスはすべて暗号化されたデータのみを保存しており、あなたの暗号化キーは保存されていません。
Photo by Morning Brew on Unsplash