安全なパスワード管理方法 その2

投稿者: 山田 泰広

前回のおさらい

前回はパスワード管理ということで、危険なパスワード管理と、紙によるパスワード管理について説明しました。ここで前回のおさらいをしてみます。

危険なパスワード管理は・・・

  • 短いパスワードを使う
  • アルファベットだけ、数字だけ、のように文字の種類が少ない
  • 誕生日のような推測しやすいパスワード
  • 盗み見られやすいところにパスワードを書いた紙を貼る
  • パスワードを使い回す

オススメの紙の管理方法は・・・

  • ノートのように大きく目立つものに書く
  • 鍵のかけられる場所にしまう

今回は紙でパスワードを管理する問題点と別の管理方法について説明したいと思います。

紙のパスワード管理の問題点

管理するのにノートさえあればOKという手軽さがある反面、紙による管理ゆえの弱点もあります。

  1. コピー&ペーストはできないため、パスワードを入力するのが面倒
  2. 人前でノートを開くとパスワードが盗み見られてしまう
  3. コピー機で簡単に複製できる
  4. 破れたり燃えたりして紛失する恐れがある

こう並べてみると紙での管理は結構弱点があります。特にコピー&ペーストができないのは非常に大きな弱点です。一文字一文字をキーボードから打ち込んでいては、そのうち面倒になってパスワードがどんどん単純になってしまいかねません。

なるべく楽してパスワードを管理する

面倒なパスワード管理は結果的に危険なパスワード管理になってしまいかねません。ですので、なるべく楽してパスワード管理できる方法を考えましょう。パスワードは十分複雑に、パスワード管理は楽に、これを目指すのがとにかく安全な方法です。

紙による管理の難点を解決する方法として挙げられるのは電子的な管理です。今回は、私がAppleのMacBookとiPhoneのユーザということもあり、iCloudを使ったパスワード管理を紹介したいと思います。

iCloudキーチェーンで管理

Screen Shot 2017-06-21 at 18.58.31

以前スマートフォンの紛失防止にも登場したiCloudですが、そのサービスの中に「キーチェーン」というものがありまして、これを使うとウェブのIDとパスワードをクラウドサービス上で管理することができます。例えばiPhoneで保存したパスワードをノートパソコンのMacBookで使用するといったこともお手軽にできてしまいます。

ここで「えぇ〜クラウド上にパスワードを保存するの〜?危なくない?」と不安に感じる方もいるかと思います。iCloudを提供しているAppleのウェブページ『iCloud のセキュリティおよびプライバシーの概要』には「Apple が iCloud キーチェーンの内容を見たりアクセスしたりすることはできません。」「承認された信頼できるデバイスのみが、iCloud キーチェーンにアクセスすることができます。」とあります。iCloudキーチェーンを使うか使わないか迷う場合はこの説明を見て決めていただければと思います。(そして私はAppleを信用した上でiCloudキーチェーンを使っています。)

iCloudキーチェーンでパスワードを自動生成

「十分複雑なパスワードを設定しましょう」と言われても何を設定すればいいのか困ってしまいますよね。そこで自分でパスワードを考えるのは放棄して、パソコンにパスワード生成を任せてしまい、iCloudキーチェーンにそのまま記憶させてしまいます。

今回はお試しとしてGoogleのメールサービスであるGmailを使って試してみましょう。

IMG_0819

iCloudキーチェーンを使うには[設定]アプリからiCloudのメニューを開き[キーチェーン]の項目を[オン]に切り替えておく必要があります。

IMG_0812 IMG_0813

※Google および Google ロゴは Google Inc. の登録商標です。

まずはGmailのアカウント登録画面です。Gmailのアカウント登録にはパスワードが必要です。ここで[パスワードを作成] にカーソルを当てるとソフトウェアキーボードの上に[パスワード候補を表示]という項目が表示されるのでこれを押します。すると[Safari推奨のパスワード]としてパスワードの候補が画面上に表示されます。[推奨されたパスワードを使用]を押すことで、パスワードの候補が自動的に入力されます。

このまま続けてアカウントの登録を済ませてしまいましょう。今度はログインする際に保存したパスワードを入力してみます。

img_0815 img_0817

※Google および Google ロゴは Google Inc. の登録商標です。

Gmailのログイン画面にて [パスワードを入力] の項目にカーソルを合わせると、ソフトウェアキーボードの上に[パスワード]と表示されます。これを押して、さらに[その他のパスワード…]を押すとGmailのパスワードを選ぶことができます。

この記事には撮影画像を載せていませんが、iPhoneからiCloudキーチェーンに保存されているパスワードを見る場合は何らかの認証を求められます。私の場合は指紋認証を有効にしていますので、iCloudキーチェーンにアクセスする際も指紋認証を求められました。

iCloudキーチェーンのちょっとした注意点

ぱっと見た限りでは使いやすそうなiCloudキーチェーンですが、自動生成されるパスワードにはちょっと注意が必要です。生成されるパスワードは “aBc-DeF-gHi-JkL” のような形式になるのですがウェブサイトによってはこれを受け付けない場合があります。例えばハイフン(-)が使えないですとか、文字数は8文字までですとかそういった入力の制限が付いている場合があります。そういったウェブサイトには残念ですが自分でパスワードを考えて入力をしましょう。自分で入力したパスワードでもiCloudキーチェーンに保存することはできますので安心してください。

記憶と紙と電子を使い分けよう

ここまでの説明で記憶(脳)と紙と電子(iCloudキーチェーン)の3つの媒体でパスワードを管理する方法を紹介しました。お察しかと思いますがどれも一長一短で、これだけを使っていればいい、といったものでもありません。個人的には電子的な管理方法が安全性と利便性のバランスが良くてオススメなのですが、中には利用しづらいケースもあります。

そこで、私がどのように使い分けているか紹介しますので参考にしていただければと思います。

パスワードを記憶するケース

  • 頻繁に使用する(毎日使うパスワードはなかなか忘れません)
  • パスコードやPINのように短い数字で覚えやすい

紙で管理するケース

  • たまにしか使わない
  • 電子的な管理が難しい
  • パスワードを忘れた場合の再発行手続きが非常に面倒

電子的に管理するケース

  • それなりの頻度で使う
  • 安全性のために長く複雑なパスワードが必要
  • 仮にパスワードが漏洩してもプライバシーや金銭的にダメージが少ない

なおパスワードの入力は楽にしたいが、パスワードを絶対に紛失したくない、といったケースでは紙と電子的の両方で管理しています。

今回のまとめ

今回も例によって私がiPhoneユーザなこともあり、内容がiPhoneに偏ってしまいましたが、機会があればAndroidではどのような管理方法があるか紹介してみたいと思います。

パスワードの管理には未だにこれといった答えは無いというのが私の考えです。ですがクラウド、生体認証、スマートフォンによる二要素認証といった技術の進歩により、昔と比べると格段に安全な管理ができるようになってきました。

パスワードの管理方法は人によって合う合わないがありますので、ぜひ自分に合ったやりかたを見つけてみてください。

山田 泰広 について

社内の本業とは別にCSIRTという組織に所属してセキュリティのことをいろいろとお手伝いしています。漫画やゲーム、映画が好きで、記事にもネタを混ぜていけたらと思います。最近CISSPというセキュリティの資格を取りました!