Bizコンパス

おすすめのパスワード管理ソフトは?
2019.02.08

今知っておきたいITセキュリティスキルワンランクアップ講座第8回

おすすめのパスワード管理ソフトは?

著者 北河 拓士

 パスワード管理ソフトは、複数のサービスの認証情報(ID・パスワード)を暗号化されたデータベースに記憶して一元管理するソフトです。

 パスワード管理ソフトには安全なパスワードを生成する機能があり、生成したランダムなパスワードを本人に代わり記憶します。本人が覚える必要のあるパスワードは、マスターパスワードのただ1つのみです。サービスへのログイン時には、記憶させたID・パスワードが自動入力されます。また、デスクトップPCやノートPC、スマホ、タブレットなど複数のデバイスを使用している場合でも、それぞれのデバイスにデータを同期して使えます。

 本連載では、Webサイトへの不正ログインの対策として、2段階認証の設定や、パスワード管理ソフトの使用を推奨してきました(第3回第4回)。2段階認証については、SMSによる確認コードやスマートフォンのアプリによるOTP(ワンタイムパスワード)など各サービスにより指定された方法に従えば良いのですが、パスワード管理ソフトについては商用ソフトからフリーソフトまで様々なものがあるため、どのソフトを使うべきか迷う人も多いではないでしょうか?筆者もおすすめのパスワード管理ソフトを聞かれることがよくあります。

 筆者の周りのセキュリティ専門家では、「1Password」、「LastPass」、「Keepass」のいずれかを使っている人が多いようです。また、比較的最近にリリースされた「Bitwarden」も評価の高いパスワード管理ソフトです。

 この4つのソフトであれば、実績もあり安心して使えると思います。いずれのソフトも無料版や無料お試し期間がありますので、まずは試しに何個かのサイトのパスワードを登録して実際の使い勝手を比較した上で、価格なども考慮して自分にあったものを選択するのが良いと思います。

パスワード管理ソフトの機能比較(2019年1月現在)

 

クラウド同期 vs ローカル保存

 パスワード管理ソフトの選択でしばしば議論になるのが、データをクラウドで保存するのか、ローカルに保存するのかです。クラウドで一元管理すれば複数デバイスでの同期が容易になりますし、PCやスマホの買い替えの場合もデータ移行のことを考える必要はありません。また、PCやスマホが故障した場合やランサムウェアの被害にあった場合でもデータがクラウドにバックアップされていますので、すべてのパスワードが失われることはありません。

 それに対し、クラウドに保存することの最大の懸念点はセキュリティへの不安でしょう。クラウドのアカウントに不正ログインされると保存してあるすべてのパスワードが第3者に流出することになります。ただし、これについてはマスターパスワードにパスフレーズ(第3回参照)などを用いた使い回しのない強固なパスワードを設定することや、ワンタイムパスワードなどによる2段階認証を設定することにより、不正ログインを防げます。

 また、クラウドのサーバーソフトやWebアプリの脆弱性により保存してあるデータが流出したり、クラウドの管理者がデータを持ち出したりする可能性も考えられます。しかし、「1Password」、「LastPass」、「Bitwarden」のいずれもデータは必ずデバイス側で暗号化又はハッシュ化された後でサーバーに送信され、パスワード保管庫や暗号鍵、マスターパスワードが平文でサーバー側に保存されることはありません。

 暗号化やハッシュ化は、十分な強度のある方式で行われていますので、仮にデータが流出したりしてもマスターパスワードが強固なものであれば、簡単にデータを復号されることはありませんし、クラウドの管理者であってもデータは見られません。

 

クラウド型パスワード管理ソフトの暗号化の仕組み

 代表的なクラウド型のパスワード管理ソフトである「LastPass」を例に、実際のクラウド型のパスワード管理ソフトの暗号化やハッシュ化の仕組みを見てみましょう。… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

SHARE

関連記事

3つの失敗例に学ぶ「脆弱性診断」を見極めるポイント

2018.11.28

セキュリティサービスを見きわめる方法

3つの失敗例に学ぶ「脆弱性診断」を見極めるポイント

悪質化するサイバー攻撃に対する新たな対策とは

2018.07.13

セキュリティ対策に求められる新たな視点第1回

悪質化するサイバー攻撃に対する新たな対策とは

IoT普及によりセキュリティ対策はどうすべきか

2018.07.06

2020年に向けたサイバーセキュリティ対策を考える第1回

IoT普及によりセキュリティ対策はどうすべきか

IPA情報セキュリティ10大脅威から読み解く、脆弱性対策とは

2018.04.18

短期化する脆弱性の被害を防ぐには?

IPA情報セキュリティ10大脅威から読み解く、脆弱性対策とは

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

2019.09.25

IoTはビジネスの現場をどう変えていくのか第2回

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

「公衆無線LAN」の危険性と安全に使う方法

2019.08.08

今知っておきたいITセキュリティスキルワンランクアップ講座第14回

「公衆無線LAN」の危険性と安全に使う方法

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

2019.08.07

サプライチェーンのセキュリティは大丈夫か?第1回

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは

2019.07.31

DXを加速させるITシステムの運用改革第9回

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは