【安全性の塊】パスワード管理ソフトの使用に悩む時間は不要

パスワード管理はしよう

結論からいうと安全なので、「次の休日に導入してしまおう」。

セキュリティに気を使っている人が確実に使っているソフト・アプリであるため、とりあえず使っておくだけで良い。

自分よりセキュリティに詳しい人が使用=専門知識を無視して同じレベルまでショートカット可能という都合よく考えて良い。

調べる必要があるのはパスワード管理ソフトの種類であって、このジャンルは標準で安全性が高いのだ。ただ、セキュリティと利便性を天秤にかけて選ぶ必要はある。

ちなみに、この業界のソフトは以下のような使い方が平然と無料で使用可能(有料プランも存在)。

ブックマークで自動入力
ログインデモ
スポンサーリンク

なぜ安全か

「忘れることはなく災害時でも安全な場所に保管され、暗号化されているから」。

一番安全でない行動が使い回しであり、使い回しは「他のサービスで流出」→「流出情報をもとに手当たり次第に有名サイトへ不正アクセス」→「入れたらラッキー!」ということになるため、使い回しを誘発する記憶は論外である。

つまり、使い回しを避けて「サービスごとに違うアカウント情報」にするだけで、セキュリティに気を使う上位勢の仲間入りを果たすことができるのだ。

パスワード管理ソフトなら、

  • ユーザーネーム
  • メールアドレス
  • パスワード
  • APIキー
  • 画像
  • 中に書いたメモ(バックアップコードなど)

と、いろいろ書いたが結局はすべてが暗号化されるため、激烈に安全だ。

火事・紛失・紙やインクの劣化・暗号化していないデータを避けられる利点を大いに利用し、うまく使うことでセキュリティと利便性の妥協点を探そう。

ちなみに使い回しは「面倒の先延ばし」であるため、いずれ流出することを考えるならパスワード管理ソフトが圧倒的に有利。

ローカル(自分の端末)・クラウド管理のどちらにするか

ローカル(自分の端末:パソコンやスマホなど)は「利便性を犠牲にしてセキュリティを高めた状態」。

クラウド管理は「ネット上にデータを置き、パソコンでアカウント情報を追加したら、スマホの方でも勝手に同期される状態」というような感じで、ネット上に置いている以上不正アクセスが恐ろしい。

その代わり利便性に力を入れており、

  • わかりやすいデザイン(ユーザーインターフェース)
  • 自動入力
  • 顔・指紋といった生体認証

といったことにも対応しているケースが多い。

この文章だけだとクラウドは恐ろしいが、知識を無視して強制的に強化することは可能。

考えられる危険性を回避

クラウドにアカウント情報を登録すれば、流出した際は絶望が押し寄せる。

何も知らないからこそ、自分の手元以外にデータを預ける不安を感じるものなのだが、仮に流出しても「死後余裕で解読されないレベルの保護」で、強引に守る方法はいくつか存在する。

その中の1つの方法が、自分の端末でしか使わずにアカウント情報を保存できる、「KeePass Password Safe(キーパスパスワードセーフ)」を使うことだ。

KeePassならローカル管理ができるので、自分の端末にマルウェア(ウイルス)感染、端末ごと盗まれるなんてことがないかぎりは盗みようがない。

仮に盗まれても、KeePassを開くたびに意図的に負荷をかけて、高速解析を遅らせることさえ可能。

ローカルとはいえ自動入力・指紋認証は対応しているので、利便性にそれほど差を感じることはないだろう。

ただ、KeePassカスタマイズが中途半端なら、確実に利便性の不満とぶつかる。

当サイトは中途半端にならないよう、自称KeePassガチ勢による設定方法を公開しているため、私と同程度のセキュリティ設定なら真似するだけでたどり着ける。

セキュリティの犠牲になった利便性の回収

ローカル運用だと、「いざパソコンでデータを更新」→「スマホにも手動で上書き保存」といったような手間が存在し、クラウド同期と比べると使いにくい。

結局は、クラウドを使うか検討することになるだろう。

KeePassには「途中からクラウド同期に切り替えるセキュリティ維持方法」が存在し、簡単に乗り換えも可能。

DropboxやGoogle Driveといったクラウドを自由に選択できるため、「どこのサービスが信頼できるか」と選択することができる。

しかも、KeePassを開く際のマスターパスワードの他にファイル型の鍵、通称キーファイルを使うことで、KeePassデータの入った「データベースをクラウド」、「キーファイルを自分の端末」に置いておくと、仮に不正アクセスされても、キーファイルがクラウドにないので開けない

このように激烈な安全を確保できるのがKeePassの強みだ。

KeePassはクラウド同期の手順やカスタマイズ方法が多く、最強にはなれるが、やること多すぎ問題に直面してしまう。

「クラウドがよくわからない、勝手にクラウドでやってくれ!」という方は、最高水準のセキュリティと利便性を兼ね備えた、非常に都合の良いbitwarden(ビットウォーデン)がオススメ。

KeePassの苦手なiPhoneも普通に他の端末と同じように使え、スマホの顔認証にも対応している。

暗号化強度はどこもだいたい一緒

専門性が強く、AESと言われても意味がわからないのと思うので簡単に言うと、

どこも当然のようにしているため、完全無視で良い

すべてのバグや不正を回避することは不可能

いつバグが発見されるかもわからないし、修正されるあいだの不安定な状況を嫌うのはわかるのだが、それでも記憶や誕生日使い回しより遥かに良い。

この可能性を限りなく少なくするのが、オープンソースというソフトの構造を誰でも確認できる手法だ。

オープンソースは中身を確認できるため、いろんな業界の人が勉強ついでにバグを発見したり、作成者の不正にも気づけるチャンスが多い。

KeePassとbitwardenはオープンソースという条件を満たしている貴重なパスワード管理ソフトなので、誰がなんと言おうとツートップのソフトだ。

こちらで強度も上げられる

途中KeePassの部分でもいったが、bitwardenにも同じような機能は付いている(KeePassの方が強力)。

スポンサーリンク

オススメのパスワード管理ソフト

当サイトはよく紹介されている1PasswordやLastPassを紹介せず、オープンソースのKeePassとbitwardenを猛プッシュ中だ。

「難しい専門知識を無視して紹介する記事」が豊富なため、導入してから迷うことなく使えるだろう。

今から導入するなら、「休日をまる1日消費する勢いの覚悟」をしよう。

bitwarden

bitwardenの自動入力イメージはこのような感じだ。

ブックマークで自動入力
スマホブックマーク自動入力

上記スマホの自動入力は古い端末での動きなので、公式ブログのiOS12とAndroid9 Pie(パイ)の動きも、英語だが画像で確認するといい。

参考AutoFill Improvements Come To iOS 12 & Android 9 – Bitwarden Blog

基本無料で使えるbitwardenがオススメなのは、以下のような方だ。

  • 初めてパスワード管理ソフトを使う
  • KeePassが難しいと感じている
  • 自力で外部クラウドに変更できる(上級者向け・別途料金)
  • 英語の翻訳が苦手
  • iPhoneユーザー
  • 家族で使いたい(有料:月1ドル5人付)
  • KeePassほどのセキュリティは妥協して、利便性重視で使いたい

妥協といっているが、それほど妥協になっていないオープンソースであり、クラウド型のオープンソースは非常に貴重なので、利便性を重視するなら迷わずにbitwardenで良い。

画像添付は有料のため、免許証画像などをどうしてもいれたければ、有料プランか全てが無料のKeePassを使うといい。

【SSS】Bitwardenのダウンロードと自動入力の使い方
【SSS】Bitwardenスマホアプリのダウンロードと自動入力の使い方

KeePass

KeePassの自動入力イメージはこのような感じ。

自動入力
ログインデモ

KeePassがオススメなのは、以下のような方だ。

  • パソコンの操作がなんとなくわかる(2年くらい?)
  • 英語が出現しても翻訳できる
  • bitwardenのクラウドを信用していない
  • 添付ファイル(免許証画像など)をかなり入れる
  • ローカル(オフライン)で使いたい
  • すべてを自分で管理したい

KeePassの強みは、「保管する場所を自由に選択でき、クラウドの会社までも選択できること」だろう。

最初は面倒だが、いずれセキュリティ上位勢に駆け上がっている。

【SSS】KeePassの日本語化とインストール
【S】スマホアプリKeepass2Androidの使い方

コメント

  1. 匿名 より:

    ttps://gigazine.net/news/20221223-lastpass-password-hacking/
    駄目じゃん
    やっぱり記憶に勝るもの無し

    • ぷっぷ より:

      極論 オラァ( っ・∀・)≡⊃ ゚∀゚)・∵.
      あと、私が勧めているのはBitwardenとKeePassなので、LastPassの話をされても困惑します( Ꙭ)
      クラウドが怖かったら、KeePassをおすすめします!
      記憶は超暗記力をお持ちの方には良いものです!

  2. 犬より猫派 より:

    こんにちは
    いつも参考にさせてもらってます、自分はUbuntuでKeepassから入り、Lastpassを経ていまではBWとこの手のは長いこと使ってきているのですが
    今回相談したいのはアラカン(還暦)のIT疎い人への導入です。

    先日実家によったら、親がまだ卓上のプリントしたメモにずらっと並んだアナログ()パスワードマネージャーを使用していて思わず苦笑いをしてしまったので今回この手のを勧めようかと思ったのですが、正直こういう新しいソフトウェアに触れさせることすらかなりのハードルだと思う次第です・・・  
    こちらのページ、アカウント作成の導入から.gif混ぜた利用方法までとてもわかりやすくまとまっていると思うのですが、これすら読ませても「???」になりそうな予感しかしないのです。
    PCでブラウザはChromeをメインで使っているようで、スマホはAndroidなので、いっそGoogleのパスワードマネージャーを勧めてみようか検討しているのですが、どう思われますか 

    • ぷっぷ より:

      えーとですね、「ハードルがまずインターネットから」は、Googleのパスワードマネージャーで良いと思います。
      大多数がやってくれないので(´ε`;)
      一度、インターネットの便利さにじゃぶじゃぶ浸からせる必要があるのですが、それがもう無理無理感がすごいのであります。
      私も家族に何度か教えているのですが、セキュリティに興味のない人にはすべてが弾かれます!
      必要なのは、セキュリティではなく話術なのです!!
      つまり、自分のことは自分で守るべきで、一気にBitwardenとかを勧めるなら、家族アカウントで自分が管理するくらいのことをしないと、大体無理だと思います(゚~゚o)
      参考:【家族・組織対応】パスワードをbitwardenで共有管理

  3. たこ より:

    パスワード管理アプリそのものではなくOSSに関するご相談、というか質問です。

    身内にパスワード管理アプリの導入を勧めたところ、
    身内「そこに登録するのは危なくないの??」
    私「オープンソースって言ってプログラムが全部公開されてる=監視されてるから、有名なものなら大丈夫よ。」
    身内「へー。あれ?でもそれが全部ってどうして分かるの??」
    私「それは…あれ?なんでだっけ?公開コードと諸々のストアに登録するコードを変えてもバレないのでは…?あれ?あれれ?」
    となってしまい、回答に窮してしまいました。

    本当にE2Eで実装されていたらそれなりに安心ですが、OSSそれ自体を信用できないと仮定すると、E2Eの部分も可能性としては低いが無くはない、と少し不安になってしまいました。

    普通の人はソースコードからビルドするわけではなくGoogle PlayストアなりApple Storeなりからインストールするわけですが、その際の「オープンさ」って何かしら保証かれているのでしたっけ??

    • ぷっぷ より:

      普通の人はソースコードからビルドするわけではなくGoogle PlayストアなりApple Storeなりからインストールするわけですが、その際の「オープンさ」って何かしら保証かれているのでしたっけ??

      保証されているかどうかはわかりませんが、私もうまく言える自信ないです(´ε`;)
      そもそもGithub使ったことないので……

      私「オープンソースって言ってプログラムが全部公開されてる=監視されてるから、有名なものなら大丈夫よ。」
      身内「へー。あれ?でもそれが全部ってどうして分かるの??」
      私「それは…あれ?なんでだっけ?公開コードと諸々のストアに登録するコードを変えてもバレないのでは…?あれ?あれれ?」
      となってしまい、回答に窮してしまいました。

      それは管理者がプレイストア等にアップするはずですし、パスワード管理アプリの領域じゃないとは思います。
      うーん、うまくいえない!
      「それが全部ってどうしてわかるの」ってキラーパスすぎるんですけども(゚~゚o)
      読めないとそれが全部なのか、一部なのか証明しようがないという。

      「自分の端末から相手まで暗号化され、閲覧するにも自分経由じゃないと閲覧できない」
      と、エンドツーエンドのみの説明の方がいいかもしれません(それがエンドツーエンドだよとは言わない)。
      今回はすでに手遅れなので、オープンソースゴリ押しのほうがいいとは思うけども、何も思い浮かばなーい(゚~゚o)
      いつも言っているのは
      「プログラムの中身が公開されていて、人気のアプリはガチ勢がたくさん閲覧してくれるから、数の暴力で不正しにくくなる」
      というような感じですので、うまく応用してください!

      本当にE2Eで実装されていたらそれなりに安心ですが、OSSそれ自体を信用できないと仮定すると、E2Eの部分も可能性としては低いが無くはない、と少し不安になってしまいました。

      これは人が作ったものである以上可能性としては0にできないので、「可能性としてはあるけど、限りなく0に近い」的なことしか言えないかも。

      • たこ より:

        早速のお返事ありがとうございます。

        >> 「それが全部ってどうしてわかるの」ってキラーパスすぎるんですけども(゚~゚o)
        >> 読めないとそれが全部なのか、一部なのか証明しようがないという。

        そう・・・ですよねえ・・・。ザッと調べてはみたものの、OSSを謳っているアプリがオープンにされているプログラムをそのまま登録しているという保証があるのか、結局判断が付きませんでした。

        どう伝えるか悩みましたが、最終的にはセキュリティを身内に啓発する立場であまり誤魔化すのも変な話だと思ったので、

        – その着眼点は素晴らしくて、Google Play ストアでインストールする場合は確かに確実なことは何とも言えない

        – とはいえ、KeyPass等の有名どころのパスワード管理アプリについては、まあよっぽど大丈夫だと思う(少なくとも全サービスで共通のパスワードを使い回すときのリスクと比べたら安全)

        – ストアとは別に、公開されたソースコードそのものからプログラムをインストールする F-droid というアプリがあるから、これを使うとOSSの部分についてはまず間違いない

        という方向性で伝えておきました。

        F-droid はオープンソースからのビルド(のはず、少なくともドキュメント上は)なので、パスワード管理等のセキュリティや個人情報を扱うアプリだけは F-droid 経由で入れるよう勧めるのが良さそうだな、と今回のことで強く感じたところです。

        • ぷっぷ より:

          なるほど、私が参考にします!
          そんなにうまく言える自信ないけども(´ε`;)

  4. ぷりん より:

    結構な人がKeePassに移行したけど、わたくし未だに国産ID Managerです。
    ローカル保存で使い易いのとなるとこれかなと、、、

    難点はiOSでの利用ですが、
    iOSでも使うアカウントって限られてるんで、それだけBitwarden併用。

    こんな使い方で凌いでますが、
    オープンソースに移行した方が良いですかね?

    • ぷっぷ より:

      ローカル保存だからそんなに問題ないとは思いますが、これって最新バージョンはいつ頃リリースしたものでしょうか。
      新セキュリティ誕生で実装などツールとしてはされてほしいので、そうでなければもう時代的に乗り換えざるを得ないと思います(´ε`;)
      ※オープンソースより時代的問題が深刻そうにみえる。
      基本的にツールが更新されなくなったら強制終了です……。
      個人開発でも、オープンソースだと引き継ぎの可能性が上がるというメリットがあります。

      エクスポート(書き出し)は国産ということで乗り換え「苦行」だと思いますが、コツコツBitwardenに移すことを勧めます!

  5. セキュリティ勉強中 より:

    パスワード管理にとても興味があり参考にさせていただいております。
    数年前にAndroidでSafeInCloud Proというアプリを購入して使い始めたのですが、KeePassやBitwardenと比べたときに何が劣っているのかがいまいち分かりませんでした。
    もしSafeInCloudご存知でしたら、そことの優位性について教えてもらえると嬉しいです。

    • ぷっぷ より:

      オープンソースではないことくらいしか差はなさそうなので、KeePassとBitwardenがオープンソース組だとしたら、これは1passwordやLastPassと同じ組ですね(もしかしてローカルでも使える?)。
      ゼロ知識とも謳っています。

      はっきりいうとすでにパスワード管理ソフトを使っている方からすれば、わざわざ乗り換えるほどの恩恵は少ないでしょう(´ε`;)
      ましてや生涯契約購入済みのようですし、今から「無料でオープンソースのものに乗り換えてもー感」強いです。

      ちなみに、Bitwardenへ乗り換えする際はデータの移行ができる模様。

      • セキュリティ勉強中 より:

        ありがとうございます。
        オープンソースかどうかの違いですか。
        やはりオープンソースの方が良いですよね。
        BitwardenやKeePassXCに乗り換えるか考えてみようと思います。

        • ぷっぷ より:

          XCの波がここにも!?(´ε`;)
          パスワード管理は本当に最後の砦なので、事前に暗号化されていてもオープンソースにアドバンテージがありますねやっぱり。