電子メールアカウントにログインします。銀行口座にログインします。 Facebookにログインします。 Amazon アカウントにログインします。写真共有サービスにログインします。あなたが定期的に使用している、パスワードを必要とするアプリケーションの数を数えることはできますか?これには、ローカル コンピュータ アカウント、電子メール、ソーシャル ネットワーキング Web サイト、さまざまなオンライン ストアの販売アカウントが含まれます。学校や職場にいる場合は、個人の記録やネットワーク ファイル共有など、そこで使用するパスワードで保護されたリソースもカウントする必要があります。これらすべてのパスワードをどうやって追跡しているのでしょうか?
ここでは、あなたが試したり検討したりしたかもしれないいくつかのトリックを紹介します (それらの一部を避けたほうがよい理由についてのヒントも添えて)。
- パスワードを記憶してください。これは、パスワードを毎日使用する場合には優れたテクニックですが、たまにしか必要ない場合には適さないかもしれません。パスワードを定期的に使用しない場合、暗記だけに頼るとパスワードを忘れてしまう可能性が高くなります。さらに、Web ブラウザの Cookie は一度に数日または数週間ログイン セッションを記憶できるため、毎日使用する場合でもパスワードを手動で入力するのはたまにだけになります。
- どこでも同じパスワードを使用してください。すべてのアカウントの単一のパスワードを覚えておくと、作業がより簡単になります。ただし、セキュリティ上の理由から、これは良いアイデアとは言えません。あるアカウントのユーザー名とパスワードを見つけたハッカーが他のアカウントにも簡単に侵入できるようになるからです。
- パスワードを紙に書き留めます。書かれた情報を他の人がアクセスできない場所に隠すことができる場合、これは理想的な解決策です。誰かがリストを見つけた場合にリスクがあるだけでなく、書かれたリストや紙切れの組み合わせも紛失または破損する可能性があり、パスワードを更新するたびにリストを見つけて更新する必要があります。
- コンピュータまたはモバイル デバイス上のファイルにパスワードを書き込みます。これは紙よりも紛失する可能性は低いですが、ハードウェア障害が発生した場合にファイルを失う危険性があります。さらに、このファイルは、コンピュータ上の他のファイルと同様にハッカーに対して脆弱です。セキュリティ層を追加するために暗号化することもできます。これにより、この戦略は次のソリューションと似たものになります。
- パスワード管理ソフトを利用する。パスワード管理ソフトウェアは、すべてのパスワードを保存および取得するために使用できるユーティリティです。このソフトウェアは、ローカル コンピュータ上のスタンドアロン アプリケーションである場合も、別のアプリケーション内の機能である場合もあります。このオプションは、情報を整理して取得するための便利な機能を追加しながら、ハッカーがパスワード データに到達する可能性のあるルートを大幅に制限します。
この記事では、パスワード管理ソフトウェアの種類を分類し、それぞれの種類を使用する利点とリスクの両方を検討します。また、市場で特定のアプリケーションをいくつか発見し、機能とセキュリティの両方でどのアプリケーションが当たり外れがあるかを整理します。その前に、パスワード管理ソフトウェアの歴史を振り返りながら、パスワード管理ソフトウェアの記憶を辿ってみましょう。
パスワード管理問題の歴史
コンピュータ 1 台、ユーザー 1 人のみでインターネット接続がない場合は、そのコンピュータへのアクセスを保護する 1 つのパスワードで十分な場合があります。初期の家庭用コンピューターの一部はそうでした。パスワードを付箋に書いてモニターに貼っておけば、自宅やオフィスに侵入しない限り誰も見つけることはできません。
しかしすぐに、人々はネットワーク上でコンピュータを接続する方法を発見し、各システム上のデータをより安全に保護する方法の必要性が生じました。ネットワーク上で覚えておく必要があるすべてのユーザー名とパスワードを把握しておくために、突然、モニターに収まりきらないほど多くの付箋が必要になりました。ただし、前に指摘したように、これらのことを書き留めるのは危険です。
この問題に対処するために、パスワード管理ソフトウェアという新しい種類のソフトウェアが設計されました。これらのアプリケーションには当初から、アカウントのリストと各アカウントのユーザー名とパスワードを管理するという単純明快な目標がありました。ほとんどの場合、このソフトウェアは、ローカル コンピューター上とネットワーク接続上の両方で、そのリストをハッカーから保護します。後でパスワード管理機能のリストに目を通すと、過去と現在のパスワード管理ソフトウェアがこれらの目標にどのように取り組んできたかがわかります。
World Wide Webのせいで、パスワード管理の問題は 1990 年代初頭以来急激に増大しました。各 Web サイトには、ユーザー名とパスワードを必要とする独自のユーザー アカウント システムがあります。パスワード推測ソフトウェアを阻止するために追加のしきい値を備えているものもあります。さらに、多くの Web サイトでは、長さと内容に関して特定のパスワード規則に従うことがユーザーに要求されており、これらの規則はサイトごとに異なる場合があり、複数の異なるパスワードを作成する必要があります。たとえば、あるサイトではパスワードに感嘆符やアスタリスクなどの特殊文字を使用する必要がある一方で、別のサイトではそれらの記号が認識されないか許可されない場合があります。
モバイル コンピューティングにより、パスワード管理の課題も増大しています。ラップトップを使用すると、どこからでも簡単に Web を使用できます。ただし、破損や盗難の結果としてデータが失われる可能性も高くなります。これにスマートフォンやタブレットを加えれば、1 つや 2 つだけでなく、複数のデバイス間でパスワードを管理することになる可能性があります。
今日のパスワード管理ソリューションは、これらの Web およびモバイルの課題を考慮しています。また、セットアップ設定で指定したサイトにアクセスすると、ログイン フォームの空白が自動的に埋められるなど、Web ブラウザとの連携機能も追加されました。クラウド コンピューティングを中心に構築された Web アプリケーションが、ローカルにインストールされた多くのユーティリティの必要性を置き換えるため、パスワード管理の問題はさらに大きくなる可能性があります。現在では、Web アプリの形式でパスワード管理ソフトウェアを見つけることもできます。
パスワード管理の課題を概観したので、さまざまな種類のパスワード管理ソフトウェアの基本機能を見てみましょう。
パスワード管理ソフトウェアの種類とメリット
ソフトウェア開発者は、データの保存場所、データの保護方法、アカウント情報の保存と取得に使用できる追加機能など、パスワード管理ソフトウェアを作成するためにさまざまなアプローチを採用してきました。
2011 年現在、利用可能なさまざまなタイプのパスワード管理ソフトウェアを以下に示します。まず、各タイプの機能と利点、およびそれを選択する理由を検討します。後で、それらのリスクについて詳しく見ていきます。
他のソフトウェア内のボーナス機能。オペレーティング システム、Web ブラウザ、ウイルス対策ソフトウェア、およびその他のアプリケーションには、パスワード マネージャー機能が含まれる場合があります。例としては、 Chrome 、 Firefox 、Internet Explorer ブラウザのパスワード マネージャーや、ノートン 360 の包括的なセキュリティ スイートの ID 管理機能などがあります。製品を通じて提供されるセキュリティに自信があり、追加の保護層の必要性を感じない場合は、このタイプのソフトウェアを使用してください。
スタンドアロンのパスワードマネージャー。最も初期のタイプのパスワード管理ソフトウェアは、他のソフトウェアと関連付けられていないスタンドアロン アプリケーションでした。 KeePass や Aurora など、そのようなアプリは現在でも多数存在します。 Aurora は強力な暗号化に加え、Web ページのフォーム入力、パスワード生成機能、パスワードを読み取り可能なファイルにエクスポートするオプションなどの追加機能を備えています。コンピューティングのほとんどを他のユーザーと共有しない 1 台のデバイスで行う場合は、このタイプのパスワード管理を試してください。
組み込みセキュリティ ハードウェアを使用したパスワード マネージャー。これは、他のタイプのパスワード管理よりもあまり一般的に採用されていないアプローチです。このソフトウェアでは、データを保存および暗号化するためにデバイスにハードウェアが組み込まれている必要があります。たとえば、Lenovo の T シリーズ ThinkPad ラップトップには、 「Embedded Security Subsystem」と呼ばれるチップセットがマザーボードに搭載されています。 Lenovo のパスワード管理ソフトウェアと組み合わせて使用すると、パスワードやその他のデータをデバイスに保存できます。さらに、データは暗号化されているため、パスキー、指紋リーダーからの指紋、または両方の資格情報を持っている人だけがそのデータを取得できます。情報はハード ドライブではなくチップセットに保存されるため、マシンを完全に起動するためにパスキーまたは指紋を要求するようにコンピューターを構成することもできます。コンピュータが物理的なハッキングや盗難の危険にさらされている場合は、このタイプのパスワード管理を使用してください。通常、これは、共有のリビングスペースやオフィススペースに保管している場合、または頻繁に旅行する場合に当てはまります。
Web ベースのパスワード マネージャー。この最新タイプのパスワード マネージャーは、インターネットに接続された任意のデバイスから使用できる Web アプリケーションです。 RoboForm や PasswordSafe などのアプリには Aurora と同様の機能があり、さらに、さまざまなデスクトップおよびモバイル オペレーティング システムで実行されているさまざまな Web ブラウザからこれらの機能にアクセスできるという利点もあります。たとえば、単一のパスワードを使用してロボフォームにサインインすると、そこに保存したすべてのパスワードを取得できます。異なるオペレーティング システムを搭載した複数のコンピュータまたはモバイル デバイスがあり、各デバイスからすべてのパスワードを取得する必要がある場合は、このタイプのパスワード管理を使用します。
パスワード管理ソフトウェアのオプションについて十分に理解できたところで、次はその利点とリスクを比較検討してみましょう。
パスワード管理ソフトウェアを使用する場合のリスク
パスワードは財布や車のキーと同じくらい重要です。パスワードを絶対に失いたくありませんし、悪者の手に渡ることも絶対に避けたいものです。そのため、パスワードの管理をソフトウェアだけで行うことを信頼すべきではありません。管理アプリケーションにパスワードを保存し始める前に、そのアプリがデータをどのように保存するのか、またそれを使用することでどのようなリスクが生じるのかを必ず理解してください。
パスワード管理ソフトウェアの使用に伴う最大のリスクは、すべてのパスワードが 1 か所に保管されていることです。パスワード管理ソフトウェアをあなたの家のようなものだと考えてください。すべての持ち物がその中にあり、1 つのキーで所有物すべてのロックが解除されます。パスワード管理アプリがマスター パスワードまたは暗号化キーを必要とする場合、ハッカーはすべてのプライベート アカウント資格情報にアクセスするためにその 1 つのパスワードまたはキーのみを必要とします。
ハッカーがこのマスター パスワードまたはキーを取得または使用するリスクを最小限に抑えるためにできることはたくさんあります。使用するパスワード管理ソフトウェアの種類に関係なく、次の予防措置を講じてください。
- コンピューターまたはモバイル デバイスを家に置いておくか、常に目の届くところに置いて、物理的に安全に保ちます。外出中に短時間マシンから離れる必要がある場合は、盗難防止としてコンピュータのロックを検討してください。
- コンピュータまたはモバイル デバイスでユーザー アカウントにアクセスするためのパスワードを設定し、このパスワードを定期的に変更します。システムが起動またはウェイクアップするたびに、このパスワードを要求するようにしてください。
- コンピューターまたはモバイルデバイスを使用していないときは画面ロックを使用し、戻ったときにパスワードの入力を要求します。
- パスワードや暗号化キーを他人に渡さないでください。
- 信頼できるファイアウォール ソフトウェアを使用して、ネットワーク接続を介した不要なアクセスを防ぎます。
- 複雑なマスター パスワードまたは暗号化キーを必要とするパスワード管理アプリを選択します。
- パスワード管理アプリでマスター パスワードを使用している場合は、マスター パスワードを 2 ~ 3 か月ごとに変更し、コンピューターへのログインに使用するパスワードと決して同じにしないでください。
- マスター パスワードを思い出すのが難しく、追加のスキャン ハードウェアを使用しても構わない場合は、指紋スキャンなどの生体認証認証情報を検討してください。
家のたとえ話に戻ると、これらの推奨事項を次のように要約できます。「すべてのドアを施錠し、鍵を失くさないようにし、泥棒がおそらくあきらめて次の場所に移るほど開けるのが難しい錠を選択してください」次の家。」しかし、泥棒がドアをノックしたり、窓を突き破ったりすることに決めたらどうなるでしょうか?場合によっては、鍵ではなく家自体があなたを危険にさらすことがあります。次に、特定のタイプのパスワード管理アプローチに特有の潜在的な問題を見ていきます。
追加のリスク
これまで詳しく説明したリスクは、あらゆる種類のパスワード管理ソフトウェアに一律に影響します。ただし、先にリストした各タイプには、さらにいくつかの危険が伴います。
パスワードをローカルに保存するソフトウェアに対する脅威の 1 つはマルウェアです。コンピュータ上の各アプリケーションは、ファイル システム内の特定の場所に特定の形式でパスワードを保管します。マルウェアは、コンピュータのパスワード データをスキャンして、それらの場所をターゲットにし、見つかったものをインターネット上の他の場所にハッカーに送信するように設計されている場合があります。信頼性が高く、頻繁に更新されるウイルス対策ソフトウェアを使用すると、これらのマルウェア攻撃やその他のマルウェア攻撃を阻止できます。
Web ブラウザのパスワード マネージャーは、保存されたパスワードの保存方法と安全性を考慮して、危険であることで有名です。ただし、インターネットやマルウェアからシステムへのアクセスを防ぐためにすでに講じている対策により、そのようなリスクがもたらす危険を防ぐことができます。たとえば、Firefox は保存するパスワードを暗号化してエンコードすることが知られていますが、その後、エンコードされたパスワードを対応する URL とともに単純なテキスト ファイルに書き込みます。物理的なセキュリティ、ユーザー パスワード、画面ロック、ウイルス対策ソフトウェア、ファイアウォールを使用してローカル ファイルへのアクセスを保護すれば、そのファイル、ひいては Firefox のパスワードを保護するのに十分です。
一部のブラウザでは、統合されたセキュリティ アプローチが使用されています。たとえば、Windows の Internet Explorer は、システムの Triple DES 暗号化を組み込んで利用するパスワードを保存する Windows レジストリ キーを作成します。保存されたパスワードを画面に表示するには、Windows レジストリへの管理者レベルのアクセスが必要です。前に示した方法のいくつかを使用して Windows アカウントへのアクセスを防止し、特にマルウェアから保護している場合は、これらの保存された IE パスワードを安全に保管することに問題はありません。
埋め込まれたセキュリティ チップやその他の暗号化ハードウェアは、マスター パスワードを失うという既存のリスクを増幅させるほど、新たなリスクをもたらしません。これらのセキュリティ システムには、オペレーティング システムの起動にパスワードを要求する追加オプションが含まれています。起動パスワードを設定した後に忘れてしまうと、コンピュータをまったく起動できなくなります。現在のコンピューターは再起動せずに数日から数週間稼働できるため、パスワードを忘れる可能性は十分にあります。さらに、ハード ドライブを別のマシンに移動すると、ブート パスワードを通過できる可能性がありますが、ハード ドライブ上のハードウェア暗号化データにアクセスすることは、不可能ではないにしても、困難になります。マスター パスワードを思い出すことが問題になると思われる場合は、ハードウェアの製造元がこのような状況での回復手順を提供しているかどうかを確認してください。
最後のリスク考慮事項は、最新タイプのパスワード管理ソフトウェアである Web アプリに関するものです。 Web アプリには、記事「クラウド コンピューティングのしくみ」で説明したのと同じセキュリティとプライバシーの問題があります。データを安全に保つために、その Web アプリの背後にある会社に依存していることになります。特定の懸念の 1 つは、銀行や政府のサイトと同様です。企業自体が、個々のユーザーを狙うのではなく、より大きなスコアを狙うハッカーや個人情報窃盗犯の標的になる可能性があります。そのリスクを最小限に抑える唯一の方法は、使用する Web ベースのパスワード管理ソフトウェアを選択するときに特別な注意を払うことです。製品の背後にある企業を調査し、ソフトウェアをテストしたセキュリティ専門家による評価を読んでください。特定の Web アプリを使用することで得られる利便性が、その潜在的なリスクを上回ると判断する場合もあります。
パスワード管理ソフトウェアでさらに多くのロックを解除したいですか?次のページに進んでください。
関連記事
- 暗号化の仕組み
- クラウドで情報を安全に保つ 5 つの方法
- ホームネットワークを保護する方法
- 指紋スキャナーの仕組み
その他の素晴らしいリンク
