パスワード管理ソフトは、複数のサービスの認証情報（ID・パスワード）を暗号化されたデータベースに記憶して一元管理するソフトです。

　パスワード管理ソフトには安全なパスワードを生成する機能があり、生成したランダムなパスワードを本人に代わり記憶します。本人が覚える必要のあるパスワードは、マスターパスワードのただ１つのみです。サービスへのログイン時には、記憶させたID・パスワードが自動入力されます。また、デスクトップPCやノートPC、スマホ、タブレットなど複数のデバイスを使用している場合でも、それぞれのデバイスにデータを同期して使えます。

　本連載では、Webサイトへの不正ログインの対策として、2段階認証の設定や、パスワード管理ソフトの使用を推奨してきました（第3回、第4回）。2段階認証については、SMSによる確認コードやスマートフォンのアプリによるOTP（ワンタイムパスワード）など各サービスにより指定された方法に従えば良いのですが、パスワード管理ソフトについては商用ソフトからフリーソフトまで様々なものがあるため、どのソフトを使うべきか迷う人も多いではないでしょうか？筆者もおすすめのパスワード管理ソフトを聞かれることがよくあります。

　筆者の周りのセキュリティ専門家では、「1Password」、「LastPass」、「Keepass」のいずれかを使っている人が多いようです。また、比較的最近にリリースされた「Bitwarden」も評価の高いパスワード管理ソフトです。

　この４つのソフトであれば、実績もあり安心して使えると思います。いずれのソフトも無料版や無料お試し期間がありますので、まずは試しに何個かのサイトのパスワードを登録して実際の使い勝手を比較した上で、価格なども考慮して自分にあったものを選択するのが良いと思います。

パスワード管理ソフトの機能比較（2019年1月現在）

クラウド同期 vs ローカル保存

　パスワード管理ソフトの選択でしばしば議論になるのが、データをクラウドで保存するのか、ローカルに保存するのかです。クラウドで一元管理すれば複数デバイスでの同期が容易になりますし、PCやスマホの買い替えの場合もデータ移行のことを考える必要はありません。また、PCやスマホが故障した場合やランサムウェアの被害にあった場合でもデータがクラウドにバックアップされていますので、すべてのパスワードが失われることはありません。

　それに対し、クラウドに保存することの最大の懸念点はセキュリティへの不安でしょう。クラウドのアカウントに不正ログインされると保存してあるすべてのパスワードが第３者に流出することになります。ただし、これについてはマスターパスワードにパスフレーズ（第3回参照）などを用いた使い回しのない強固なパスワードを設定することや、ワンタイムパスワードなどによる２段階認証を設定することにより、不正ログインを防げます。

　また、クラウドのサーバーソフトやWebアプリの脆弱性により保存してあるデータが流出したり、クラウドの管理者がデータを持ち出したりする可能性も考えられます。しかし、「1Password」、「LastPass」、「Bitwarden」のいずれもデータは必ずデバイス側で暗号化又はハッシュ化された後でサーバーに送信され、パスワード保管庫や暗号鍵、マスターパスワードが平文でサーバー側に保存されることはありません。

　暗号化やハッシュ化は、十分な強度のある方式で行われていますので、仮にデータが流出したりしてもマスターパスワードが強固なものであれば、簡単にデータを復号されることはありませんし、クラウドの管理者であってもデータは見られません。

クラウド型パスワード管理ソフトの暗号化の仕組み

　代表的なクラウド型のパスワード管理ソフトである「LastPass」を例に、実際のクラウド型のパスワード管理ソフトの暗号化やハッシュ化の仕組みを見てみましょう。… 続きを読む