パスワード・マネージャーとは?
むかしむかし、インターネットの黎明期には、買い物や勉強、連絡の取り合い、仕事の処理などに使ういくつかの重要なウェブ・アプリケーションのために、ほんの一握りのパスワードを持っていたかもしれない。今日では、事態はより複雑になっている。平均して、人々は約100のパスワードを覚えておく必要があると報告されている。
テクノロジーは私たちの生活をより簡単にすることを約束し、それは一般的にそうであるが、私たちがサインアップする新しいウェブサイトやアプリケーションは、私たちが覚えなければならない別のパスワードである。ほとんどの人にとって、それらすべてを覚えておくことは不可能になっている。インターネットユーザーの3分の2がそうであるように)複数のアカウントでパスワードを再利用していませんか?これは大きな間違いです。
ダークウェブから購入した盗まれたパスワードの巨大なリスト(別名「ダンプ」)を使って、サイバー犯罪者は他のサイトに総当たりで侵入したり、古いパスワードを使って詐欺でユーザーを恐喝することができる。これがデータ漏洩のドミノ効果だ。1つの情報漏えいが次の情報漏えいにつながり、また次の情報漏えいが......という具合に。
ほとんどのデータ漏洩は、漏洩した脆弱なパスワードや再利用されたパスワードによって引き起こされると報告されている。1234567、誰かいる?
では、なぜこのような事態に陥ってしまったのか?
有名なxkcdのウェブコミック「Password Strength」がそれを最もうまく説明している:「20年にわたる努力の結果、私たちは、人間には覚えにくいがコンピュータには推測しやすいパスワードを使うよう、すべての人に訓練することに成功した」。
本当だ。20年前、サイバーセキュリティの専門家は、IoT機器(インターネット・ルーターなど)のデフォルト・パスワードを変更しなかったり、「12345」や「password」のような推測されやすいパスワードを使っている消費者を戒めた。大文字と小文字、少なくとも1つの数字、1つの記号が混在する一般的な単語である。
新しいアカウントを作成する際、ウェブサイトは長くて強力なパスワードの作成を要求する。それができなければ、アカウントを作ることさえ許されない。アカウント作成の段階を乗り越えたとしても、作ったばかりのエニグマ・マシンの暗号をすぐに忘れてしまい、「パスワードをお忘れですか」というリンクを毎日のログイン・オプションとして使うことを諦めることになる。
幸いなことに、パスワードをすべて覚えておく必要はない。パスワード・マネージャーがあなたの代わりに覚えてくれるのだ。
Malwarebytes Labs 、パスワードマネージャーを「オンライン認証情報を保存・管理するために設計されたソフトウェアアプリケーション」と定義しています。また、パスワードの生成も行う。通常、これらのパスワードは暗号化されたデータベースに保存され、マスターパスワードの後ろにロックされます。
すべてのアカウントのユーザー名とパスワードが保管庫に入力されると、マスターパスワードだけが記憶されます。マスターパスワードを入力すると、パスワード保管庫のロックが解除され、保管庫から必要なパスワードを取り出すことができます。
パスワード・マネージャーを使うメリットは?
もうすべてのパスワードを覚える必要はありません。パスワード保管庫のロックを解除するマスターパスワードだけを覚えておけばいいのです。また、クラウドベースのパスワードマネージャーを選べば、どのデバイスからでも、どこからでもパスワード保管庫にアクセスできる。
安全性の高いパスワードを自動生成してくれます。パスワードマネージャーは通常、ウェブサイトやアプリケーションで新しいアカウントを作成するたびに、自動生成されたパスワードを使用するかどうかを尋ねます。これらのランダムなパスワードは長く、英数字で、基本的に推測することは不可能です。
フィッシング・サイトを警告してくれます。 フィッシング詐欺について簡単に説明します。スパムメールは、友人、家族、同僚、取引先の組織など、正規の送信者から送られているように偽装されています。メール内に記載されているリンクは、ログイン認証情報を取得するように設計された、同様に偽装された悪意のあるウェブサイトへ誘導します。ブラウザベースのパスワード・マネージャーを使用している場合、ユーザー名とパスワードのフィールドは自動入力されません。
あなたが他界したとき、受益者を助けることができる。これはデジタル相続と呼ばれます。あなたが死亡した場合、あなたの家族、またはあなたの遺産を管理するために指定した人は、あなたのパスワードの保管庫にアクセスできるようになります。
パスワード・マネージャーは時間を節約します。単にパスワードを保存するだけでなく、多くのパスワード・マネージャーはオンライン・アカウントに素早くアクセスするための認証情報を自動入力してくれる。さらに、名前、住所、Eメール、電話番号、クレジットカード情報を保存し、自動入力できるものもある。これは、例えばオンラインショッピングをする際に大きな時間節約になる。
多くのパスワード・マネージャーは、異なるオペレーティング・システム(OS)間で同期する。 会社ではWindows ユーザーで、家ではMac ユーザーなら Android月曜日から金曜日までAndroidを使い、週末はiOS 使う。Chrome、Firefox、Edge、Internet Explorer、Safariなど、最も人気のあるウェブブラウザも同様だ。
パスワード・マネージャーは、あなたの個人情報を保護するのに役立つ。回りくどい言い方ですが、パスワード・マネージャーは個人情報の盗難を防ぐのに役立ちます。サイトごとに一意なパスワードを使うことで、基本的に、利用するウェブサイトやアプリケーションごとにデータをセグメント化することになる。犯罪者があなたのアカウントのひとつをハッキングしても、他のアカウントに侵入できるとは限りません。これは完全ではありませんが、データ侵害の余波を受けたときに、セキュリティのレイヤーを増やすことができます。
パスワード・マネージャーは安全か?
パスワード・マネージャーはハッキングされてきたが、ユーザー・データの保護に関しては、全体的な実績は非常に良い。パスワードマネージャーLastPassは、数件のデータ漏洩に見舞われた。暗号化を使用し、2023年でも安全に使用できる評判の良いパスワードマネージャーはたくさんある。その一例がNordPassパスワードマネージャで、Cyber Newsによる最も安全なパスワードマネージャのリストにも入っている。
携帯電話がマルウェアに感染していると、パスワード・マネージャーも侵入される可能性があることを忘れてはならない。そのため、マルウェア対策ソフトやウイルス対策ソフトを常に最新の状態に保つことは必須です。
パスワード・マネージャーの種類とは?
デスクトップ・ベースのパスワード・マネージャーは、パスワードを暗号化された保管庫にラップトップなどのデバイスにローカルに保存する。他のデバイスからこれらのパスワードにアクセスすることはできず、デバイスを紛失した場合は、そこに保存されているすべてのパスワードを失うことになる。ローカルにインストールされたパスワード・マネージャーは、自分のデータを他人のネットワークに保存したくない人には最適なオプションだ。ローカルにインストールされたパスワード・マネージャーの中には、デバイス間で複数のパスワード保管庫を作成し、インターネットに接続したときにそれらを同期させることで、プライバシーと利便性のバランスを取っているものもある。
クラウドベースのパスワード・マネージャーは、サービス・プロバイダーのネットワーク上に暗号化されたパスワードを保存します。サービスプロバイダは、あなたのパスワードのセキュリティに直接責任を負います。1Passwordや NordPassが良い例ですが、クラウドベースのパスワードマネージャーの主な利点は、インターネット接続さえあれば、どのデバイスからでもパスワード保管庫にアクセスできることです。ウェブベースのパスワードマネージャーは、ブラウザの拡張機能、デスクトップアプリ、モバイルアプリなど、さまざまな形で提供されています。
シングルサインオン(SSO)。使用するアプリケーションごとに固有のパスワードを保存するパスワード・マネージャーとは異なり、SSOではすべてのアプリケーションで1つのパスワードを使用できます。SSOはデジタルパスポートだと考えてください。外国に入国するとき、パスポートは税関や入国管理局の職員に、あなたの国籍の国があなたを保証し、最小限の手間で入国を許可することを伝えます。同じように、アプリケーションにログインするためにSSOを使うとき、あなたはIDを確認する必要はない。代わりに、SSOプロバイダーがあなたの身元を保証する。企業はいくつかの理由でパスワードマネージャよりもSSOを好む。主に、SSOは従業員が仕事をするために必要なアプリケーションにアクセスするための安全で便利な方法です。SSOはまた、ITがトラブルシューティングや忘れたパスワードのリセットに費やす時間を削減します。
パスワードのベストプラクティス
パスワードを再利用しない。パスワード・マネージャーを使っても。その代わり、サイトごとにユニークなパスワードを作成し、パスワード・マネージャーにその機能を任せましょう。安全で強力なパスワード生成ツールを使って、すべてのアカウントに固有のパスワードを作りましょう。
複雑なパスワードを作成する。多くのパスワード・マネージャーは、新しいサイトのアカウントを作成するたびに、強力なパスワードを自動的に提案してくれる。そうでない場合は、アルファベットと数字をランダムに組み合わせ、大文字と小文字を使い分けるようにしましょう。複雑でナンセンスであればあるほどいい。パスワードマネージャーがそれをやってくれる。1つだけ重要な違いは、マスターパスワード(他のすべてのパスワードのロックを解除するパスワード)の作成だ。このパスワードは覚えておく必要があるので、もしあなたが天才的な記憶力を持っているのでなければ、あなたの記憶に残るような、しかし簡単にあなたのIDにたどり着けないようなものを考えてみてください。大文字、小文字、派手な文字を加えれば、厳重に保護されたパスワード保管庫の完成だ。
パスフレーズを使う。マスターパスワード(他のパスワードのロックを解除するパスワード)を作るときは、パスフレーズを使ってみよう。例えば、馴染みのあるものに奇妙なひねりを加えたもの:例えば、"bean burrito ice cream split"(豆ブリトー・アイスクリーム・スプリット)。あるいは、人間には容易に想像できるが、コンピュータには想像できないようなランダムなものを並べる。想像力を働かせてください!ペット、子供、その他の家族の名前や、「中に入れて!」のようなセリフはあまりにも一般的であるため、サイバー犯罪者が解読するのは簡単だ。
二要素認証(2FA)または多要素認証(MFA)を有効にする。パスワード・マネージャーであろうとなかろうと、アカウントを保護する最善の方法の1つは、MFAを有効にすることです。MFAを有効にしたパスワード・マネージャーでは、2つ以上の認証要素(あなたが知っているもの、あなたが持っているもの、あなたがいるもの)を使ってあなたの身元を確認する必要があります。知っているもの」は通常パスワードですが、PIN番号でもかまいません。持っているもの」は、携帯電話、銀行カード、USBスティックに入ったセキュリ ティ・トークンなどである。最後に、あなたが何者であるかは、顔認証、音声認証、虹彩認証、指紋認証などの生体認証を使って確認することができる。キー入力などの行動バイオメトリクスも適用できる。
このセキュリティの追加レイヤーは、あなたのアカウントにログインしようとする人(あなた自身を含む)が、ユーザー名とパスワード以外の追加認証要素を制御する必要があることを意味します。例えば、次のようなものだ:パスワード・マネージャーにアクセスするためにマスター・パスワードを入力した後、携帯電話にコードが送信されます。携帯電話を認証要素として使用する際に注意しなければならないのは、電話番号が乗っ取られる可能性があるということです。
これはSIMジャッキング(別名SIMスワッピング)と呼ばれ、あなたを装ったサイバー犯罪者が、あなたの携帯電話キャリアを説得し、あなたのセキュリティ質問にうまく答えることで、あなたの電話番号を自分の携帯電話に再割り当てすることで起こります。犯罪者が必要な答えを得るには、ソーシャルメディアをざっと検索するだけでよいことが多い。そして、一度犯罪者があなたの携帯電話をコントロールすれば、あなたのIDを盗むのに必要なものはすべて手に入る。したがって、重要なアカウントにはAuthyや Google Authenticatorのようなソフトウェアベースの認証機能を使用することをお勧めします。
無料のパスワード・マネージャーをよく考えてみよう。最も人気のある無料のパスワードマネージャの多くは、実際にはフリーミアムビジネスモデルの下で動作し、あなたが最高の、時には必須の機能をしたい場合は、お金を支払う必要があることを意味します。ブラウザやデバイス間でパスワードを同期する必要がありますか?デジタル相続が必要ですか?家族とログインを共有する必要がありますか?多要素認証が必要ですか?無料のパスワード・マネージャーには、通常これらの機能は含まれていません。特にMFAは必須だ。無料か有料かの議論では、有料のパスワード・マネージャーを選びましょう。
パスワード管理ポリシーを作成する。中小企業向けのヒントです:パスワード・マネージャー・ポリシーを作成し、従業員にパスワード・マネージャーを使用しても問題ないことを伝えましょう。従業員はすでに、多くのパスワードを管理するために、安全でない可能性のある方法の寄せ集めのようなものを使っており、ほとんどのデータ漏洩は、弱いパスワードや再利用されたパスワードから始まっています。公式のパスワード・マネージャー・ポリシーは、ネットワークへのサイバー攻撃に対する防御の第一線です。
こちらも参照: パスキー