パスワードマネージャー
パスワードマネージャー(英語: Password Manager)またはパスワード管理ツール・サービスは、アプリケーションやサービスのIDやパスワードを記憶・管理するソフトウェアやサービスである。
概要
[編集]一般的にパスワードは、パスワードリスト攻撃を防ぐためにサービスやアカウント毎に異なるものを設定する事を求められ[1]、かつ総当たり攻撃や辞書攻撃などを防ぐため可能な限り、長く(例えば12文字以上)、複雑で(大文字・小文字・数字を混ぜる等)、推測されにくい(電話番号、郵便番号、社会保障番号、IDと同じパスワード、その他個人情報等から推測されにくいパスワード)ものであることが要件として求められる。
しかし、人間が記憶できるパスワードの長さや数には限界があり、実際に非常に多く10億件超のパスワードの内700万件では「123456」という脆弱なパスワードで[2]、2018年の調査でも最も利用されているパスワードは「123456」、2番目に利用されているパスワードは「password」であることが判明しており[3]、人間が複雑で安全なパスワードを多数覚え続けるのは困難である。
この、各サービス毎に複雑で安全なパスワードを設定することが求められるが、人間がその全てを記憶するのが困難である問題を解決するのが、パスワードマネージャーである。
パスワードマネージャーは、一般的に「マスターパスワード」と呼ばれる金庫の鍵の様なパスワードを設定し、その「マスターパスワード」で他のIDやパスワードを安全に保管するソフトウェアやサービスである。IDやパスワードの他にその他の機密情報を保管する機能がついている場合や、安全なパスワードを生成する機能がついている場合もある。
パスワードマネージャーの機能
[編集]パスワードマネージャーの主な機能は次の通りである。
- パスワード(またはIDとパスワードの組)の記憶
- パスワード(またはIDとパスワードの組)を対応するアプリケーションと連携づけて記憶する。
- パスワードの安全な保管
- 暗号化や、保管されている情報のアクセスに認証による制限を設けるなどして、安全に保管する。
- 記憶したパスワードによる自動入力、自動ログイン支援
- 安全なパスワードの生成
- 英数字や記号の組み合せ、桁数を指定し、ランダムなパスワードを生成する。
対象となるアプリケーションによる分類
[編集]パスワードマネージャは、管理する対象のアプリケーションによって主に2種類に分類される。パスワードマネージャーには主に、パスワードを「ローカルに保管するもの」と「ネットワーク上のサーバに保管するもの」があるが、両者が併用される場合もある。パスワードをネットワーク上のサーバに保管する場合には、一般的にローカルでパスワードを暗号化した後、暗号化データがサーバに送信される。
- ローカルにパスワードを保管するソフトウェア
- Password Safe
- Internet Explorer、Chrome、FirefoxなどWebブラウザのパスワード記憶機能 - 基本的にはローカルに保存されるが、設定によってはネットワーク上のサーバにも保管される。
- ネットワーク上のサーバにパスワードを保管するサービス
Webブラウザのオートコンプリート機能も、パスワードに限らず、Webアプリケーションにおける入力項目を記憶し、次回入力時に自動入力、ないし補完してくれる機能であり、パスワードマネージャに近い。ただし、オートコンプリート機能はHTML側でオートコンプリートを無効にする設定がされていた場合には使えないなど、パスワードマネージャーの機能としては不完全である。
パスワードマネージャーの利点とリスク
[編集]パスワードマネージャーを用いる利点としては、次のようなものが挙げられる。
- 利用者が個別のパスワードを覚える必要がなくなる
- 覚える必要がないので、安全なパスワードを設定できる
- 個々のパスワードは覚えなければ、利用者からパスワードが漏洩する危険が減る
- パスワード入力の手間が省ける
- アプリケーションがパスワードを安全に管理してくれるため、利用者が気を使う必要がない
- クラウド上にパスワードが管理されている場合、どこからでもマネージャー機能を使うことができる
- 自動入力を使っている場合、キーロガーにパスワードを窃取される危険が減る
- URLを比較する方式の場合、フィッシング詐欺に効果がある
一方、パスワードマネージャーの利用については次に挙げるようなリスクも存在する。
- マスターパスワードが漏洩すると危険である
- 多くのパスワードマネージャは、保管しているパスワードへのアクセスを制限するために、パスワードマネージャーにパスワード(マスターパスワードと呼ばれる)認証を設けている。しかし、このマスターパスワードが弱いなどの原因で第三者に漏洩してしまうと、パスワードマネージャーが保管しているすべてのパスワードが漏洩の危険にさらされてしまう。マスターパスワードは破られにくい強いパスワードにした上で、どこかにメモするなどの安全でない保管手段は避けるべきである。
- 安全でない保管がされている場合、または脆弱性により複数のパスワードが漏洩する危険がある
- 何らかの原因によりマネージャーの保管データが失われてしまった場合、または利用者がマスターパスワードを忘れるなどして保管データにアクセスできなくなってしまった場合、利用者が個別のアプリケーションにアクセスできなくなる
- 第三者が利用者のコンピュータを操作することにより、保管しているパスワードが参照される危険がある
- 多くのパスワードマネージャは、個別のパスワードへのアクセスに毎回マスターパスワードの認証を求めない。このため、利用者が離席中に第三者がコンピュータを操作することで、パスワードが漏洩する危険がある。
- アプリケーション管理者が利用者のパスワードを参照したり、悪用する可能性がある
- 特に、クラウドで管理している場合は、パスワードマネージャの管理者が信頼できるかどうか見極めが必要になる。
脚注
[編集]- ^ サイバ課長. “パスワードリスト攻撃とは?被害の原因と対策方法”. サイバーセキュリティ.com. 2020年7月21日閲覧。
- ^ “10億件超の資格情報を分析して明らかになった最も利用されているパスワードは「123456」”. GIGAZINE. 2020年7月21日閲覧。
- ^ “最悪のパスワード2018年版、トップは安定の「123456」”. GIGAZINE. 2020年7月21日閲覧。