パスワード管理ソフトのチョイスに悩むマカー
もうパスワードをすべて覚えていられない。一定以上の長さ、一定以上の複雑度を求められ、セキュリティ確保のために使い回しをやるわけにもいかず、サービスによっては一定期間でパスワードの変更を求められる上に過去3回分のパスワードは使えないとか面倒事が増えてきた。しかしこれもセキュリティのため。個々の施策の妥当性に思うところはあるものの、リスクを最小限に抑えるためには仕方のないところだろう。 となると、パスワード管理ソフトを使いたいところだが、この手のソフトの数は多く、選択に悩むところではある。実際私もいろんなソフトを試したり仕様を確認したりした。ここでは、どのパスワード管理ソフト選んだか、選んだ理由は何か、使うのをやめた理由は何かについて記していく。
LastPass
パスワード保管庫をクラウド上に保存するタイプのパスワード管理ツール。基本無料。
ブラウザのプラグインとして提供される。
ウェブサービスのログイン用といった趣で、ユーザー名とパスワードを保管する。また、新規にウェブサービスのアカウントを作成した場合は自動的にLastPassへ追加しようとしてくれる。
重視していた機能
- とにかくたくさんあるパスワードをひとまとめに管理したかった
- パスワードのフォーム入力を自動化したかった
基本的に安全性云々よりも楽したいという怠惰な気持ちが先行している。
使用をやめた理由
- パスワード保管庫管理UIの挙動がやや重い
- インターネット接続ができないと全く役割を果たさない
- やっぱりパスワードそのものを第三者管理のクラウドに預けるのはちょっと……
1については、パスワード保管庫管理もWebブラウザ上で行うのだが、Webアプリなので(?)操作とそのリアクションに微妙に間がある。
2については、インターネットに接続する際にプロキシを通す必要がある場合、ツールの仕様上プロキシを通さないとまともに使えない点がネックである。また、認証付きプロキシの場合、認証を通す操作が発生するので自動でLastPassが有効にならない。これについては使う前に気づけという感じもする。
3についてはLastPass自身が過去に攻撃を受けて流出した可能性があるというアナウンスがあったことで懸念がより強まったといえる。いや、LastPassのセキュリティ管理を疑っているわけじゃないんだ!全然疑ってないよ!パスワードはちゃんと暗号化されていてマスターパスワードを特定しない限りパスワードの入手ができないようになっているに違いないしかし……しかし!漏れてしまったら我々には打つ手が無いことも確かで、解読しづらくすることはできても漏らさないようにする仕組みにはどうしてもできない。
1Password
公式:https://agilebits.com/onepassword
パスワード保管庫をローカルストレージ上に保存するタイプのツール。モバイル版は基本無料。Windows, Mac版は有料($49.99)。
パスワードだけではなく自由にフィールドを追加することによりいろんな情報を保管できる。ファイルの添付も可能。このことから、パスワード管理ツールと言うよりデジタル情報用鍵付きブリーフケースという感じである。 複数端末同士での共有はDropBoxもしくはiCloudで行う。自動で同期する。手動での同期でモバイル端末とPCの1対1限定となるがWiFi同期という手段もある。
iOS版はTouch IDに対応しており、毎回マスターパスワードを入力する手間を省くことができる。また、iOS 8以降であればApp Extension機能でブラウザから1Passwordを呼び出してログイン情報を入力させるということもできるようになり、ビルトインの1Browserでなくてもログイン情報の入力がかなり楽になっている。
重視していた機能
- パスワード保管庫をローカルストレージに保存できること
もともとはiOS版が期間限定無料だったことがきっかけで、ツール自体も有名だったために使い始めた。
DropBox連携は実にスムーズに行われ、端末間のパスワード共有が実に簡単に行える。
ユーザー名とパスワードといったログイン情報以外の情報を自由に追加することができ、ファイル添付も行うことができるのもあり、銀行の口座情報などを記録するようなテンプレートもある。パスワードに限ることなく、様々な情報を暗号化して管理することができる。ここがただのパスワード管理ツールではない所以である。
使用をやめようとしている理由
- $49.99
- マスターパスワードでしかロックできない
1については、モバイル版のプロ機能で$9.99なのに対しWin, Mac版は$49.99とそこそこしっかりとしたお値段にちょっと身構えてしまうところ。冷静に考えればゲームソフト1本よりも安いので実はあまり気にするところではないのだが、にも関わらずこういうツールで1000円以上だと手が出しづらくなるのはなんでだろう。
2については、DropBoxにしろiCloudにしろクラウドで共有する以上何らかの理由でパスワード保管庫が流出してしまう可能性はある。パスワード保管庫の中身は項目ごとにAES-256bitで暗号化されているため、マスターパスワードがバレない限り解読されることは(今のところは)ない。しかしそのマスターパスワードは長さ、複雑さともに強固なものにしておいたとしても時間さえあればいつかは特定されてしまうものである。マスターパスワードだけでロックするリスクはこの辺りにある。
KeePass2.x
パスワード保管庫をローカルストレージ上に保存するタイプのツール。オープンソースで開発されており、無料。
バージョンは1.xx系と2.xx系があり、機能もパスワード保管庫の形式も違う。パスワード保管庫の暗号化方法は選択可能になっているがデフォルトはAES-256bit。
有志が開発したプラグインが多数あり、それらを使って機能を拡張することができるが、KeePassのバージョンによって使えなかったりする。
公式が提供しているのはWindows版のみで、MacやLinuxユーザーはmono上で動作させるよう案内しているが、私のMacでは動かなかった。有志が開発した非公式アプリとして、Mac, Linux, iOS, Androidで動作するアプリもある。
使っていて良いところ
- キーファイルによる二重ロック
- 1Passwordのようにパスワード以外の情報を自由に追加でき、添付ファイルの追加も可能なので1Passwordのような使い方ができる(2.xx系のみ)
- グローバルオートフィルの存在により、一般アプリのログイン情報入力も自動化可能だし、ブラウザ連携できなくてもあまり気にならない。
1については、マスターパスワード以外にキーファイルを使うことにより、マスターパスワードだけによるロックよりも強固にできる。キーファイルは最大256bitのデータであり、これとマスターパスワードを組み合わせているため、マスターパスワードもしくはキーファイルが漏洩しない限りは解読はほぼ無理と思われる。キーファイルはKeePassを実行するマシンそれぞれで持っている必要がある。クラウドで共有する際にはパスワード保管庫とキーファイルを同じ所に置くようなマヌケなことはしないように注意したい。
2については、パスワード項目にカスタムフィールドを付加できるし添付ファイルも設定できるのでこのあたりは1Passwordを同じことができる。大したことがないように見えるが、1Passwordと同じ機能というだけでかなりのアドバンテージなのである。
3については、対象のウインドウを指定して自動入力シーケンスを設定することにより、一般的なアプリのログイン情報入力などもキー入力一発で自動入力することができる。Webブラウザのプラグインでフォーム自動入力するものがあるが、この機能があるのでプラグインが使えなくてもあまり気にならない。ウインドウタイトルが存在しない場合は使えない。
以上から、個人的にはWindowsユーザーであればKeePass一択だと考えている。
我慢して使っているところ
- デザインが野暮ったい
- 機能をフル活用できるのはWindows版のみ
1についてはまあ仕方ない。
2については、Windows版はほぼ文句ないのだが、非公式のMac版やモバイル版はプラグインが使えなかったり、Windows版の一部機能が使えなかったりする。たとえば、Mac版KeePassXの場合、現行の最新バージョンでもグローバルオートフィルはおろか、通常のパスワード自動入力も動かない。ただ、有志で通常のパスワード自動入力を実装したバージョンが公開されていたりするので、このコードが取り込まれれば次バージョンで自動入力ができるようになるかもしれない。
また、iOSではMiniKeePassを使用している。カスタムフィールドでメモリー内保護を指定することで設定値を見えないようにすることができるのだが、MiniKeePassではそのまま見えてしまい一瞬焦る。あと、パスワード保管庫をクラウドで保管している場合、クラウドサービスのアプリを経由してMiniKeePassを起動しないとパスワード保管庫が更新されない点以外で特に不満はない。