近頃ニュースで不正アクセスによってお金が盗まれたなんて話もよく聞くようになり、色々なサイトでそれぞれ異なったパスワードを作らなくてはならなくなってきて、本当に覚えてるのが大変ですよね。こんなにたくさんのサービスがある中でそれぞれのサイト毎に異なったパスワードを覚えておくことなんて正直不可能に近いです。
パスワードを管理している中でやりがちなダメな保存を以下書いてみましょう。
- 付箋に書いてデスクトップに貼っておく
- 個人の手帳にパスワード一覧をメモしておく
- パソコンの中のメモ帳ファイルに記録しておく
- Excelでリスト化して綺麗に一覧化して保存する
- 保存したファイルにパスワードをかけておく
如何ですか?
この記事を読んでいる方の中でもこんなパスワード管理の仕方をしてしまっている人もいるんじゃないでしょうか?
基本的にパスワードを実際の紙に書いてメモしておく方法は、その個人を特定できない限りは有効のようにも思えますが、そもそも付箋自体をパソコンに貼るなんて方法はパスワードの効果はゼロに等しいですし、個人手帳に書いたところで、その手帳のメモを一体いつまでしっかりと保存できるでしょうか?
数年後、どこに片付けたかわからないまま紛失してしまった日には、例えそこに書いてあるサイトでのパスワードは使っていなかったとしても、同じパスワードを使い回していた場合には一気に他のサイトもパスワードが破られてしまう危険性があります。
またZipやMS Office標準のパスワードをかけたファイルを使っているのであれば、まだマシですが、こういったパスワードの脆弱性はどこまで考えていますでしょうか?例えばZipのパスワードであれば、実は素人でも簡単にクラッキング(Pika Zipなど)できてしまいます。スーパーコンピューターのようなパソコンも必要ありませんし、ものの数分で解錠できてしまうんです。なので、やはりパスワードはしっかりと専用の方法で管理するべきなのです。
今回は大事なパスワードを無料でかつ安全に管理する方法と僕が使っている無料のパスワード管理ソフトKeePassについて解説していきます。
パスワードをパソコン(オフライン)で保存するメリットとデメリット
ネットでパスワード管理ソフト、パスワード管理アプリと書いてみると、結構なアプリがあることが分かりますよね。有名どころではノートンや、Macafee、キヤノンESETなどのウイルスソフトを販売しているメーカーもいろんな管理ソフトを出していることが分かります。
それ以外にも1Password(ローカル版もある)などのパスワードをクラウドで管理してくれるようなサービスもあるわけなんですが、基本的にはほとんどが有償のサービスになっています。
一旦アプリを購入してしまえば使えるものもありますが、月額費を払ってパスワードを管理するサブスクリプションタイプが多いですね。
僕は基本的に自分のデータは自分で守るというのが信条ですから、基本的にこういったクラウド系のものは使いません。また月額費がかかるものも、そのサービスを未来永劫使い続けるという覚悟がない限りあまり使いたくありません。
なので、オフラインにローカルで保存するというところに拘って行きたいと思います。
オフライン保存のメリット
簡単にメリットを書いてみると以下のような感じになります。
- 月額の固定費がかからない
- クラウドに流さないことが一番の物理セキュリティ
- パスワード管理だけの機能であれば初心者でも十分使える
基本的にはオフラインで保存するので、データが流出するということはP2Pソフトでも使っていない限りありません。また今回紹介するKeePassであればキーファイルと呼ばれる鍵となるファイルを一緒に使うので、パスワードとキーファイルの多要素認証になっていますので、セキュリティ的にも十分です。
オフライン保存のデメリット
逆にデメリットとしてはこんな感じです。
- ブラウザ自動入力のセットアップには少々手間がかかる
- スマホには使えない(もしくは同期できない)
- オープンソースを使う場合、カスタマイズされた暗号アプリには不安がある
オフラインの製品のものなので、基本的には使用するパソコン、スマホそれぞれにファイルを保存しておく必要があります。そのため、1箇所で変更したファイルは自動で同期などはできません。
但し、これはセキュリティの観点で考えれば閲覧できる場所を限定されること自体は問題ないですし、むしろ物理的なセキュリティのためのものだと割り切れます。
一方で、今回の紹介するKeePassでは基本機能だけであれば、たいした設定はないんですが、自動入力などの機能を使おうとするとちょっと厄介です。但し、個人的には自動入力機能はChromeなどのブラウザで実装されているものを使った方が便利です。また以下の記事でも説明していますが、Chromeであればパスワード脆弱性も一緒に自動で判別してくれるので、ブラウザ自動入力はこれで十分だと思います。
https://simple-was-best.com/chrome-password-protection/
どちらかと言えば、パスワードのなかでブラウザで入力するようなものじゃない時には、むしろこう言ったKeePassのような純粋なパスワードソフトで管理する方が便利ではないかと思います。
KeePassを使ってパスワード管理をしよう
さて、ようやく本題に入るわけなんですが、僕が使っているパスワード管理ソフトを紹介してみたいと思います。
KeePassとは?
先ずはKeePassは何かってところなんですが、オープンソースかつ無料のパスワードマネージャーになります。
対応のOSは、Windowsだけなく、Linux、MacOS、さらにはアプリを使えばiOSなどのスマホなどでも使用可能です。
オープンソースと聞くと、セキュリティは大丈夫なの?って思うかもしれませんが、ある意味オープンソースであるが故に安心になっているんですね。有名なセキュリティ会社以外の知名度の低い会社だとそもそもの会社としての信用がないわけなんで、逆に不安なんです。
その点、オープンソースであれば、全員がソースコードを確認することができるので、変なコードを入れようものであれば、すぐに修正されてしまうわけなんですよね。またKeePassであれば、有志の管理者によりしっかりと管理されているので、下手な会社のものよりもよっぽど安心できるわけです。
覚えておくのはマスターパスワードの1つだけ
仕組みとして、パスワードマネージャーにパスワードが保存してあるわけなんですが、そのパスワードファイル(データベースファイル)を開くために必要なるのは、マスターパスワードとキーファイルだけになります。
キーファイルというのは、データベースファイルを開くための鍵となるファイルになります。このファイルは基本的にデータベースファイルとは別々に保存しておかないと意味がありませんね。DropBoxやBoxなどのクラウドに保存しておいても良いですし、物理的にパソコンと外部メディア、NASなどの保管場所は分けて保存しましょう。
このキーファイルがあるおかげでこのKeePassのセキュリティを高めてくれているわけなので、データベースファイルを作成する場合には必ずこのキーファイルを作成しましょう。
KeePassのパスワードジェネレータ(生成機)
またKeePassで便利な機能の1つは、このパスワードランダム生成機能です。
任意の長さと、文字の種類を指定することでランダムでセキュリティの高いパスワードを自動で生成することが可能です。
ブラウザ自動入力はChromeで十分
KeePassにはもう1つ面白い機能があるんですが、それがブラウザの自動入力になります。ブラウザの自動入力とはユーザーIDとパスワードを自動で入力してくれる機能ですよね。
ただこの機能は正直設定が少し難しいというか面倒です。
さらにそもそもChromeで実装されているパスワード自動入力機能があり、こちらの方がGoogleのセキュリティでガッチリと守られているので、あえてKeePassを使ってこの機能を使えるようにするぐらいなら、Chromeを使い倒した方が簡単に安全性を担保することができます。
https://simple-was-best.com/chrome-password-protection/
KeePassプラグインの安全性は不透明
KeePassにはここで紹介する以外の機能にも多数のプラグインが存在しています。
但し、こう言ったプラグインに関してはセキュリティの関しては不透明な部分があります。というのもプラグインというのは、データベースファイルへのフルアクセスができるようになるわけです。一方でオープンソースで管理されているのは本体のKeePassのみになるので、それ以外のプラグインに関しては作成者次第になるわけです。
そのため、プラグイン側に悪意のあるコードが仕込まれてしまった場合には、データベースファイルの中身が脅威に晒される可能性があります。
便利なものもあるとは思いますが、使用に関しては自己責任で行ってください。
もちろん日本語化もサポート
因みに今回は英語の環境でスクショしていますが、もちろん日本語化もサポートしています。
単にパスワードを保存しておくだけであれば、正直英語のままでも十分使用できるとは思いますが、設定画面で日本語に切り替えてあげれば、もちろん日本語にも変更可能です。
パソコンには必ずセキュリティソフトをインストールしよう
パソコン・スマホには、日頃から必ずセキュリティソフトをインストールしておきましょう。万が一、何かがあった時にインストール しておけば良かったと思っても、もう遅いです。
変なサイトなんか見ないから大丈夫ではなく、インターネットに接続する以上、どこにいてもセキュリティを高めておくことが重要です。
僕のオススメは、コスパ抜群のESETセキュリティソフトになります。
まとめ
今回は僕のパスワード管理方法と無料管理ソフトKeePassを紹介していきました。
パスワード管理というのは、今のオンライン社会を考えると必須の機能ですよね。本当にたくさんのサイトがある一方でセキュリティを考えると、全て同じをものを使わないように言われてしまって、正直覚え切れるわけがありません。
KeePassのようなパスワードマネージャーを使えばそう言ったパスワード管理に悩むことはなくなりますので、是非皆さんも試してみてください。
コメント