#セキュリティのアレ (18) パスワード管理ソフト

えーっと、すいません、忘れてましたw
というわけで先週はパスワード管理ソフトの話題を取り上げてみました。

www.atmarkit.co.jp

www.youtube.com


基本的な仕組みはこんな感じです。

  • 各種WebサービスのIDとパスワードを AESなどで暗号化して保存する
  • 暗号化の鍵はマスターパスワードから PBKDF2などの鍵導出関数で生成する
  • 鍵導出ではソルトとストレッチングによりオフラインでのパスワード解読を困難にする
  • 暗号化されたデータはクラウド上に保存するか(クラウド型)、または PCやスマホなどの手元の端末に保存して管理する(ローカル型)
  • 利用する時にはマスターパスワードを入力してデータを復号する (覚える必要があるのはマスターパスワードだけ)
  • クラウド型ではまずはじめにユーザ認証を行い、成功したら暗号化されたデータをダウンロードして、復号は手元の端末側で行う(つまりマスターパスワードそのものを送信することはなく、データをサーバ側で復号することもない)*1


利用するにあたっていくつか注意すべき点もあります。

スターパスワード

スターパスワードがすべての鍵なので、とにかく長くて強固なものにします。動画でも言いましたが、個人的には使いながらだんだん長くしていくのがオススメです。ほかに、メモしない、コピペしない、パスワード管理ソフト以外のところでは絶対に入力しない、などを徹底するとよいと思います。

バックアップ

ローカル型の場合、データが保存されている端末が使えなかったり紛失したりすると困ったことになります。またクラウド型の場合にはサービスが止まってしまうとそもそも使えません。こうした場合に備えて、データのバックアップを保持しておくといいでしょう。ローカル型では複数の端末でデータを同期しておいてもいいです。また例えば異なる別のツールにデータをインポートするのもよい方法ですが、一旦平文でデータをエクスポートする必要があります。こうしたデータをうっかりそのままにしないようにしましょう。

情報漏洩

クラウド型ではサーバからデータが漏洩する可能性が考えられますが、サービス事業者側ではデータを復号できない仕組みになっているはずなので、マスターパスワードさえ強固に設定しておけば仮に暗号化されたデータがサーバから漏洩したとしても安全です。ローカル型でも Dropboxなどのサービスを使ってデータを同期している場合には、クラウド型と同様のリスクがあります。またクラウド型/ローカル型ともに、手元の端末側からのデータの漏洩を防ぐためには、端末(PCやスマホ)そのものをきちんと保護する必要があります。またパスワード管理ソフトのロック機能や自動ログオフ機能なども活用すべきでしょう。


パスワードに関連するネタはこれで 3回目ですが、まだまだ今後も取り上げていきたいと思います。

*1:まれにそうなっていないサービスもあるので注意