【安全性の塊】パスワード管理ソフトの使用に悩む時間は不要

パスワード管理ソフト
この記事は約7分で読めます。

結論からいうと安全なので、「次の休日に導入してしまおう」。

セキュリティに気を使っている人が、確実に使っているソフト・アプリであるため、とりあえず使っておくだけで良い。

自分よりセキュリティに詳しい人が使用=専門知識を無視して同じレベルまでショートカット可能という都合よく考えて良い。

調べる必要があるのはパスワード管理ソフトの種類であって、このジャンルは標準で安全性が高いのだ。ただ、セキュリティと利便性を天秤にかけて選ぶ必要はある。

ちなみに、この業界のソフトは平然と無料で使用可能(有料プランも存在)。

スポンサーリンク

なぜ安全か

「忘れることはなく、災害時でも安全な場所に保管され、暗号化されているから」。

一番安全でない行動が使い回しであり、使い回しは「他のサービスで流出」→「流出情報をもとに手当たり次第に有名サイトへ不正アクセス」→「入れたらラッキー!」ということになるため、使い回しを誘発する記憶は論外である。

つまり、使い回しを避けて「サービスごとに違うアカウント情報」にするだけで、セキュリティに気を使う上位勢の仲間入りを果たすことができるのだ。

パスワード管理ソフトなら、

  • ユーザーネーム
  • メールアドレス
  • パスワード
  • APIキー
  • 画像
  • 中に書いたメモ(バックアップコードなど)

と、いろいろ書いたが結局はすべてが暗号化されるため、激烈に安全だ。

火事・紛失・紙やインクの劣化・暗号化していないデータを避けられる利点を大いに利用し、うまく使うことでセキュリティと利便性の妥協点を探そう。

ちなみに、使い回しは「面倒の先延ばし」であるため、いずれ流出することを考えるならパスワード管理ソフトが圧倒的に有利。

ローカル(自分の端末)・クラウド管理のどちらにするか

ローカル(自分の端末:パソコンやスマホなど)は「利便性を犠牲にしてセキュリティを高めた状態」。

クラウド管理は「ネット上にデータを置き、パソコンでアカウント情報を追加したら、スマホの方でも勝手に同期される状態」というような感じで、ネット上に置いている以上不正アクセスが恐ろしい。

その代わり利便性に力を入れており、

  • わかりやすいデザイン(ユーザーインターフェース)
  • 自動入力
  • 顔・指紋といった生体認証

といったことにも対応しているケースが多い。

この文章だけだとクラウドは恐ろしいが、知識を無視して強制的に強化することは可能。

考えられる危険性を回避

クラウドにアカウント情報を登録すれば、流出した際は絶望が押し寄せる。

何も知らないからこそ、自分の手元以外にデータを預ける不安を感じるものなのだが、仮に流出しても「死後余裕で解読されないレベルの保護」で、強引に守る方法はいくつか存在する。

その中の1つの方法が、自分の端末でしか使わずにアカウント情報を保存できる、「KeePass Password Safe(キーパスパスワードセーフ)」を使うことだ。

KeePassならローカル管理ができるので、自分の端末にマルウェア(ウイルス)感染、端末ごと盗まれるなんてことがないかぎりは盗みようがない。

仮に盗まれても、KeePassを開くたびに意図的に負荷をかけて、高速解析を遅らせることさえ可能。

ローカルとはいえ自動入力・指紋認証は対応しているので、利便性にそれほど差を感じることはないだろう。

ただ、KeePassカスタマイズが中途半端なら、確実に利便性の不満とぶつかる。

当サイトは中途半端にならないよう、自称KeePassガチ勢による設定方法を公開しているため、私と同程度のセキュリティ設定なら真似するだけでたどり着ける。

セキュリティの犠牲になった利便性の回収

ローカル運用だと、「いざパソコンでデータを更新」→「スマホにも手動で上書き保存」といったような手間が存在し、クラウド同期と比べると使いにくい。

結局は、クラウドを使うか検討することになるだろう。

KeePassには「途中からクラウド同期に切り替えるセキュリティ維持方法」が存在し、簡単に乗り換えも可能。

DropboxやGoogle Driveといったクラウドを自由に選択できるため、「どこのサービスが信頼できるか」と選択することができる。

しかも、KeePassを開く際のマスターパスワードの他にファイル型の鍵、通称キーファイルを使うことで、KeePassデータの入った「データベースをクラウド」、「キーファイルを自分の端末」に置いておくと、仮に不正アクセスされても、キーファイルがクラウドにないので開けない

このように激烈な安全を確保できるのがKeePassの強みだ。

KeePassはクラウド同期の手順やカスタマイズ方法が多く、最強にはなれるが、やること多すぎ問題に直面してしまう。

「クラウドがよくわからない、勝手にクラウドでやってくれ!」という方は、最高水準のセキュリティと利便性を兼ね備えた、非常に都合の良いbitwarden(ビットウォーデン)がオススメ。

KeePassの苦手なiPhoneも普通に他の端末と同じように使え、スマホの顔認証にも対応している。

暗号化強度はどこもだいたい一緒

専門性が強く、AESと言われても意味がわからないのと思うので簡単に言うと、

どこも当然のようにしているため、完全無視で良い

すべてのバグや不正を回避することは不可能

いつバグが発見されるかもわからないし、修正されるあいだの不安定な状況を嫌うのはわかるのだが、それでも記憶や誕生日使い回しより遥かに良い。

この可能性を限りなく少なくするのが、オープンソースというソフトの構造を誰でも確認できる手法だ。

オープンソースは中身を確認できるため、いろんな業界の人が勉強ついでにバグを発見したり、作成者の不正にも気づけるチャンスが多い。

KeePassとbitwardenはオープンソースという条件を満たしている貴重なパスワード管理ソフトなので、誰がなんと言おうとツートップのソフトだ。

こちらで強度も上げられる

途中KeePassの部分でもいったが、bitwardenにも同じような機能は付いている(KeePassの方が強力)。

スポンサーリンク

オススメのパスワード管理ソフト

当サイトはよく紹介されている1PasswordやLastPassを紹介せず、オープンソースのKeePassとbitwardenを猛プッシュ中だ。

「難しい専門知識を無視して紹介する記事」が豊富なため、導入してから迷うことなく使えるだろう。

今から導入するなら、「休日をまる1日消費する勢いの覚悟」をしよう。

bitwarden

bitwardenの自動入力イメージはこのような感じだ。

ブックマークで自動入力

スマホブックマーク自動入力

上記スマホの自動入力は古い端末での動きなので、公式ブログのiOS12とAndroid9 Pie(パイ)の動きも、英語だが画像で確認するといい。

参考AutoFill Improvements Come To iOS 12 & Android 9 – Bitwarden Blog

基本無料で使えるbitwardenがオススメなのは、以下のような方だ。

  • 初めてパスワード管理ソフトを使う
  • KeePassが難しいと感じている
  • 自力で外部クラウドに変更できる(上級者向け・別途料金)
  • 英語の翻訳が苦手
  • iPhoneユーザー
  • 家族で使いたい(有料:月1ドル5人付)
  • KeePassほどのセキュリティは妥協して、利便性重視で使いたい

妥協といっているが、それほど妥協になっていないオープンソースであり、クラウド型のオープンソースは非常に貴重なので、利便性を重視するなら迷わずにbitwardenで良い。

画像添付は有料のため、免許証画像などをどうしてもいれたければ、有料プランか全てが無料のKeePassを使うといい。

【SSS】bitwardenのダウンロードと自動入力の使い方
KeePassと実力が拮抗している、オープンソースのパスワード管理ソフト「bitwarden」拡張機能・デスクトップアプリ・Webブラウザの使い方を紹介。
【SSS】bitwardenスマホアプリのダウンロードと自動入力の使い方
顔・指紋といった生体認証に対応、しかも無料でオープンソースの『現クラウド型パスワード管理アプリの王者』bitwarden(ビットウォーデン)。

KeePass

KeePassの自動入力イメージはこのような感じ。

自動入力

ログインデモ

KeePassがオススメなのは、以下のような方だ。

  • パソコンの操作がなんとなくわかる(2年くらい?)
  • 英語が出現しても翻訳できる
  • bitwardenのクラウドを信用していない
  • 添付ファイル(免許証画像など)をかなり入れる
  • ローカル(オフライン)で使いたい
  • すべてを自分で管理したい

KeePassの強みは、「保管する場所を自由に選択でき、クラウドの会社までも選択できること」だろう。

最初は面倒だが、いずれセキュリティ上位勢に駆け上がっている。

【SSS】KeePassの日本語化とインストール
パスワード管理ソフト最強で無料のKeePass(2.40)をダウンロード・インストール・初期設定をし、ChaCha20・Argon2で意図的に負荷をかける方法も紹介。
【S】スマホアプリKeepass2Androidの使い方
不審なアプリのクリップボード読み取りを回避できるパスワード管理アプリKeepass2Androidの、インストールからデータベースの作成、簡単な使い方までを紹介する。

コメント

  1. しまった より:

    この記事を拝見し、クラウドのリスクも回避できるKeePass Safe を導入しようかと色々調べていたら、このアプリを改良したKeePassXCというアプリがさらに利便性も改善されていてよいという記事も目にしました。
    これについて何か、コメント、アドバイスを教えて下さい。(利便性もよくしたい ので迷っています。)

    • ぷっぷぷっぷ より:

      簡単にいうと「KeePass Password Safe」はWindowsでしか使えない公式であって、Mac・Linuxで使うために利用するのがXCです∩(・∀・∩
      かなり現代的なUIでクラウドパスワード管理ソフト級を期待できそうですが、そこまでは調べていないので割愛。
      ただ、他のOSで使うためにはサードパーティ製、いわゆる他の人が作成したツールを使って読み取る形式のため、必然的に公式ではなくなるのが欠点ですね(´ε`;)
      といってもオープンソースなのでほぼほぼ大丈夫です。
      つまり、オススメアプリです!
      でも、私はWindowsしかなく現状で満足しているため、XCを使うことはありません……。

      注意する点は以前コメント欄で「自動入力の仕様がXCだと若干違う」ということが判明したため、自動入力で紹介している「F16」を使わず、かわりに「F8か9」を使うようにするくらいだけ知ってます(*゚▽゚)
      参考強制的に半角にする

  2. しまった より:

    回答ありがとうございます。

    • ぷっぷぷっぷ より:

      例の件にいろいろと細工しておきました。
      私って気が利くー( ・ω・)/

タイトルとURLをコピーしました