結論からいうと安全なので、「次の休日に導入してしまおう」。
セキュリティに気を使っている人が確実に使っているソフト・アプリであるため、とりあえず使っておくだけで良い。
調べる必要があるのはパスワード管理ソフトの種類であって、このジャンルは標準で安全性が高いのだ。ただ、セキュリティと利便性を天秤にかけて選ぶ必要はある。
ちなみに、この業界のソフトは以下のような使い方が平然と無料で使用可能(有料プランも存在)。
なぜ安全か
「忘れることはなく災害時でも安全な場所に保管され、暗号化されているから」。
一番安全でない行動が使い回しであり、使い回しは「他のサービスで流出」→「流出情報をもとに手当たり次第に有名サイトへ不正アクセス」→「入れたらラッキー!」ということになるため、使い回しを誘発する記憶は論外である。
パスワード管理ソフトなら、
- ユーザーネーム
- メールアドレス
- パスワード
- APIキー
- 画像
- 中に書いたメモ(バックアップコードなど)
と、いろいろ書いたが結局はすべてが暗号化されるため、激烈に安全だ。
火事・紛失・紙やインクの劣化・暗号化していないデータを避けられる利点を大いに利用し、うまく使うことでセキュリティと利便性の妥協点を探そう。
ローカル(自分の端末)・クラウド管理のどちらにするか
ローカル(自分の端末:パソコンやスマホなど)は「利便性を犠牲にしてセキュリティを高めた状態」。
クラウド管理は「ネット上にデータを置き、パソコンでアカウント情報を追加したら、スマホの方でも勝手に同期される状態」というような感じで、ネット上に置いている以上不正アクセスが恐ろしい。
その代わり利便性に力を入れており、
- わかりやすいデザイン(ユーザーインターフェース)
- 自動入力
- 顔・指紋といった生体認証
といったことにも対応しているケースが多い。
この文章だけだとクラウドは恐ろしいが、知識を無視して強制的に強化することは可能。
考えられる危険性を回避
クラウドにアカウント情報を登録すれば、流出した際は絶望が押し寄せる。
何も知らないからこそ、自分の手元以外にデータを預ける不安を感じるものなのだが、仮に流出しても「死後余裕で解読されないレベルの保護」で、強引に守る方法はいくつか存在する。
その中の1つの方法が、自分の端末でしか使わずにアカウント情報を保存できる、「KeePass Password Safe(キーパスパスワードセーフ)」を使うことだ。
KeePassならローカル管理ができるので、自分の端末にマルウェア(ウイルス)感染、端末ごと盗まれるなんてことがないかぎりは盗みようがない。
ローカルとはいえ自動入力・指紋認証は対応しているので、利便性にそれほど差を感じることはないだろう。
ただ、KeePassカスタマイズが中途半端なら、確実に利便性の不満とぶつかる。
セキュリティの犠牲になった利便性の回収
ローカル運用だと、「いざパソコンでデータを更新」→「スマホにも手動で上書き保存」といったような手間が存在し、クラウド同期と比べると使いにくい。
結局は、クラウドを使うか検討することになるだろう。
KeePassには「途中からクラウド同期に切り替えるセキュリティ維持方法」が存在し、簡単に乗り換えも可能。
DropboxやGoogle Driveといったクラウドを自由に選択できるため、「どこのサービスが信頼できるか」と選択することができる。
しかも、KeePassを開く際のマスターパスワードの他にファイル型の鍵、通称キーファイルを使うことで、KeePassデータの入った「データベースをクラウド」、「キーファイルを自分の端末」に置いておくと、仮に不正アクセスされても、キーファイルがクラウドにないので開けない。
このように激烈な安全を確保できるのがKeePassの強みだ。
「クラウドがよくわからない、勝手にクラウドでやってくれ!」という方は、最高水準のセキュリティと利便性を兼ね備えた、非常に都合の良いbitwarden(ビットウォーデン)がオススメ。
KeePassの苦手なiPhoneも普通に他の端末と同じように使え、スマホの顔認証にも対応している。
暗号化強度はどこもだいたい一緒
専門性が強く、AESと言われても意味がわからないのと思うので簡単に言うと、
どこも当然のようにしているため、完全無視で良い。
すべてのバグや不正を回避することは不可能
いつバグが発見されるかもわからないし、修正されるあいだの不安定な状況を嫌うのはわかるのだが、それでも記憶や誕生日使い回しより遥かに良い。
オープンソースは中身を確認できるため、いろんな業界の人が勉強ついでにバグを発見したり、作成者の不正にも気づけるチャンスが多い。
KeePassとbitwardenはオープンソースという条件を満たしている貴重なパスワード管理ソフトなので、誰がなんと言おうとツートップのソフトだ。
こちらで強度も上げられる
途中KeePassの部分でもいったが、bitwardenにも同じような機能は付いている(KeePassの方が強力)。
オススメのパスワード管理ソフト
当サイトはよく紹介されている1PasswordやLastPassを紹介せず、オープンソースのKeePassとbitwardenを猛プッシュ中だ。
「難しい専門知識を無視して紹介する記事」が豊富なため、導入してから迷うことなく使えるだろう。
今から導入するなら、「休日をまる1日消費する勢いの覚悟」をしよう。
bitwarden
bitwardenの自動入力イメージはこのような感じだ。
上記スマホの自動入力は古い端末での動きなので、公式ブログのiOS12とAndroid9 Pie(パイ)の動きも、英語だが画像で確認するといい。
参考AutoFill Improvements Come To iOS 12 & Android 9 – Bitwarden Blog
基本無料で使えるbitwardenがオススメなのは、以下のような方だ。
- 初めてパスワード管理ソフトを使う
- KeePassが難しいと感じている
- 自力で外部クラウドに変更できる(上級者向け・別途料金)
- 英語の翻訳が苦手
- iPhoneユーザー
- 家族で使いたい(有料:月1ドル5人付)
- KeePassほどのセキュリティは妥協して、利便性重視で使いたい
妥協といっているが、それほど妥協になっていないオープンソースであり、クラウド型のオープンソースは非常に貴重なので、利便性を重視するなら迷わずにbitwardenで良い。
画像添付は有料のため、免許証画像などをどうしてもいれたければ、有料プランか全てが無料のKeePassを使うといい。
KeePass
KeePassの自動入力イメージはこのような感じ。
KeePassがオススメなのは、以下のような方だ。
- パソコンの操作がなんとなくわかる(2年くらい?)
- 英語が出現しても翻訳できる
- bitwardenのクラウドを信用していない
- 添付ファイル(免許証画像など)をかなり入れる
- ローカル(オフライン)で使いたい
- すべてを自分で管理したい
KeePassの強みは、「保管する場所を自由に選択でき、クラウドの会社までも選択できること」だろう。
最初は面倒だが、いずれセキュリティ上位勢に駆け上がっている。
コメント
まさかずさんのコメント
※以下はサーバー移転中のコメントだったため、ぷっぷが手動でコピペしたものです。
これに関連しまして、サービスによっては、「Googleアカウントでログイン」等他サービスのアカウントでのログインに対応している場合がありますが、これが安全であるならば、新たにアカウントを作成するよりも管理アカウントを増やすことがなくなり、個人的にはメリットを感じます。
対応している際は、Googleアカウント等を積極的に活用した方がより良いものなのでしょうか?
「サービスによってはアカウント情報が窃取される可能性があり危険」等アドバイスをいただけると幸いです。
まさかずさんへ
私はソーシャルログインを一切使ったことがないので仕様もなにも知りません(゚~゚o)
調べてみたらかなり使えるようですね。
参照ソーシャルログインとは?仕組みやメリット・デメリット、導入・実装方法から事例まで解説。|ソーシャルログイン/ID連携の導入・実装支援サービス「ソーシャルPLUS」
例えば、2段階認証が使えないサービスでもソーシャルログインのGoogleかFacebookにすればそっちの2段階認証が働くなど。
多分GoogleだったらGoogleのサービスを通って認証していると思うので、びっくりするほどセキュリティは高いはずです。
他に私が感じた気になった部分は、
という感じでしょうか。
1つ目は気をつければいいだけなので問題ありませんが、2つ目はどうなっているのでしょう。
調べるのも面倒なので、私は今後も使わず、そのサービス専用のアカウントを作成して今後も登録していきます。
その際「登録が億劫」になることが予想されますので、「とっとと登録メールアドレス(ちゃんと受信できるやつ)」を予め作っておき、何も考えずに同じメールアドレスをどんどんアカウント登録で使うようにするといいです。
なお、信頼できないサイトではこのソーシャルログインを使うことで、そのサイトの信頼度を無視できるかもしれません。
以下の記事のように、「セキュリティ導入コストを考えるとソーシャルログインにしたほうが楽」みたいなのもありますし、そういう仕様だと思われます。
参考二段階認証 ソーシャルログインで利便と安全を両立も効果はユーザー次第
そうなるとこのソーシャルログインは、信頼性が胡散臭いサイトでかなりの効果を受けられるでしょう。
※実際にはちゃんと調べていませんので、役に立たなくてごめんなさい。
最後に当然ですが、ソーシャルの方のアカウントを厳重にしておかないと多分ダメです 笑
早速のコメントに感謝いたします。
「ソーシャルログイン」と呼ぶのですね。ありがとうございます。
大変参考になりました。
私もぷっぷさんと同じく、当分の間は今までどおりアカウントを作成していき、私の中である程度信頼度が増した際(ぷっぷさんが推薦記事を掲載した際?)にソーシャルログインを活用していきたいと思います。
どちらにもメリットがあるので、確かにこれは「ソーシャルログインのうまい使い方」を知りたいですね(´ε`;)
そしてまたやることが増えてしまったのであった……
KeePassXC,UIがBitwarden以上にオサレで大変よろしい
またでたXC推しさん!(゚Д゚;)
本当によく推されるし、今後Linuxにする時私も使わなきゃいけないので、その時に紹介する予定です。
※現在は「同じKeePassシリーズなんだから、設定は本家の方法でだいたい一緒のはず(*゚▽゚)」という逃げで超絶後回し中。
本家KeePassよりXCの方が寄付額多いんじゃないかってくらい、XCファンは多く感じるー(゚~゚o)
オシャレって正義!
ぷっぷさん、はじめまして。
こちらのWebサイトを拝見してすぐにBitwardenを導入し、今はおかげさまで大変快適にパスワード管理を行うことができています。
さて、このことで一つ気付きがありご相談なのですが、パスワードは複雑なものを設定できていますが、ほとんどのアカウント名(ID)が「メールアドレス」です。アカウント毎にパスワードの使いまわしをせず、複雑なものを設定しても、アカウント名が同一ではまだまだセキュリティ対策上不十分な感じがしています。
アカウント名がメールアドレス以外に設定できるものは、順次取り替えていますし、メールアドレスも重要なものとそれ以外とで極力使い分けをしたりしています、また、可能なものはAuthyを活用して2要素認証にしています。
この他、なにか良い対策がありますでしょうか?
メールアドレスはどこも公開情報として使っていますので、パスワードレベルの扱いは無理かな?
一応Gmailにエイリアス機能がありますが、これはメインのメールアドレスバレちゃってますし、漏洩した場合メインのメアドにフィッシングメールは多分くるでしょう(いまのところ1通も来ないまま2年たったけど・そもそも漏洩してないと思う)。
なお、メインのメールアドレスが流出しても、その後ろに付いている文字列はわかりようがないので、そのサービス専用で使うのならセキュリティは一応アップするでしょう………。
そんないっぱいメールアドレスを作るのも億劫なので、諦めるのが正解かな(´ε`;)
ユーザー名ログインにできるものはそっちにしちゃってOKです。これで外でパソコン使っても、ログインしている時に実は「メールアドレスが表示されてた!」なんてことはなくなります。
一応セキュリティキーを今年中に紹介予定ですが、使えるサービスがあるのならこれが2段階認証最強っぽいので有りです。
Bitwardenのログインにも対応してまーす∩(・∀・∩
ぷっぷさん、早速返信をいただきありがとうございます。
大変参考になりました!!
引き続き、現在の方法を基本として、パスワードを可能な限り複雑なものにする等「パスワードに仕事をさせる」ことにします。
なお、ご紹介いただいた「セキュリティキー」について、大変興味があります。
紹介記事を心待ちにしております!!
しまったー(゚Д゚;)
更新激遅なのに、また一人期待させてしまったのであった……
ぷっぷさん初めまして、電悩過敏症です。やりすぎくらいがちょうどいい貴重なセキュリティ情報をありがとうございます。
キーロガー対策としてパスワード管理ソフトに興味を持っています。ブラウザのパスワード管理機能も使ってみているのですがなんか不安で……。かといって新しいソフトを導入すること自体にも慎重になる質ですからなかなか決められません(笑)。
ところで他のブログでパスワード管理ソフトについて取り上げた記事があるのですが、そこにこんな記述がありました。
“フリーのツールに自分の大切な機密情報を預けるのはやめておいた方がいい”
そのブログ主はIT業界に努めているらしくて、曰く「フリーのツールはサポートが貧弱で、いつ提供中止になるとも限らない」そうです。
ぷっぷさんの紹介してくださったソフトはいずれも無料で使えるということですがそのあたりはどうなんでしょう?
確かにそのとおりですよー∩(・∀・∩
でも、KeePassは普通のパスワード管理ソフトじゃないので、コミュニティで活発にサポートがおこなわれています。
参考KeePass / Discussion
英語が苦手でも翻訳すればある程度は大丈夫ですし、そもそもパスワード管理ソフトにサポートという概念は実際のところ不要だと思っています(だから詳しくKeePassの使い方を書いたってのもある)。
それでもサポートのあるパスワード管理ソフトはその分野で強いので(未だにLastPassと1Passwordが有名だしー)、否定するわけではないですがどちらも良い面があります=どっちも良いので話題にはしない。
1Passwordは新テクノロジー対応が速いイメージで結構良さげですね。
オープンソースの弱点は開発中止になることなのも確かなのですが、その時は乗り換えればいいだけですし、その時代の最強に乗っからずに他のツールで我慢するのはよくわかりません。
また、KeePassは「kdbxファイル読み取り機」でしかないため、普通に公式がやめたらXCに乗り換えるだけで終わります。
ここはKeePassの強みであり、提供中止になる可能性は他のオープンソースより低いと言えるでしょう。
※オープンソースは結構な確率で誰かが引き継ぎ復活しますが、タイムラグがあるためいきなりXCに乗り換えられるのは高ポイント。
※Bitwardenはサーバーとかサポートでお金を取っているのでフリーで使えるけどフリー部門から排除。
そもそも、パスワード管理ソフトで重要なのはサポートではなくセキュリティですので、扱えるのであればKeePass、利便性を向上させるならBitwardenで私の場合は話をばっさり終わらせちゃうかな(´ε`;)(オープンソースですし、FirefoxユーザーならLockwise出てきたよー)
これはKeePassには適用されないので、気にしなくてOKです。Argon2にキーファイル……これらの設定はやりすぎセキュリティであり、KeePassが一番最初だったと思います。
フリーのツールと、フリーのオープンソースツールじゃかなり意味が違ってきますし、これはそもそもKeePassやBitwardenではなく他のツールのことを言っているのかもしれません。
どちらにせよ「パスワード管理 比較」という検索語句でやりすぎセキュリティが上位に行ける記事を書けばいいだけの話なので(すみませんどのブログかわかっちゃった( Ꙭ))、今すぐではないですがいつかテコ入れします∩(・∀・∩
確かにKeePass はオープンソースの利点を上手く活かしてますよね。
ぷっぷさんが言う通り開発が停滞したら誰かがソースコードを引き継いでフォークすれば良いだけですし(オープンソースライセンスの特徴で自由にソースコードを利用、修正、頒布出来るので)
まずただの”無料で使えるだけのソフト=フリーウェア”と”無料でソースコード見てもいいよ!配布,フォークしてもいいよ!=オープンソースソフトウェア”を混在するとダメですね……。
多分そのITに勤めてる?人はフリーウェアの事を言ったのでは?
実際「Paint Tool SAI(ドローソフト)」や「AviUtl(動画編集ソフト)」などの”ただの”無料で使えるソフトは二つとも開発が停滞してますし、ソースコードが見れない(=プロプライエタリ)のでフォークも出来ない、開発を手伝えない、とかのデメリットありまくりです。しかもソースコードが見れないので安全では無いかもしれないと言う不安もあります。
しかしオープンソースソフトは前にも言った通り利用、修正、頒布OK!ですのでソースコードみて○○○にバグありますよ〜!とか言えますし、大体はユーザーフレンドリーでフォーラムで質問できたりなど利点だらけなので。
結論:ITに勤めてる人は、オープンソースの事では無いのかも?
補足ありがとうございます∩(・∀・∩
よくよく考えたらFirefoxもフリーのツールですし、やっぱり例えただけで深い意味はなさそうですね。
お答えいただきありがとうございます。同じフリーソフトでもオープンソースかどうかでそれほど違いがあるのですね。参考になりました。
ホイ( ・ω・)/
紙媒体に書いて保管してた方が安全性は確実。
といった弱点が痛いので、やりすぎセキュリティ的にはまったくオススメできません(´ε`;)