おひとり

できる限りひとりで楽しむための情報やプログラミング情報など。

パスワード管理サービスの必要性を痛感した話。さっそくLastPassの利用を開始。有料プランの画面もみてみよう。

f:id:hitoridehitode:20201229120328p:plain
パスワードの管理は難しい問題
この記事では、パスワード管理サービスの必要性を痛感したエピソードと、実際に使い始めたLastPassについて書きます。
LastPassは有料プランを契約しているので、目玉の機能であるセキュリティダッシュボードの画面もみてみましょう。

ウェブサービスの利用とパスワードの管理

リモートワークが当たり前になり、これまで以上にウェブサービスを使う機会が増えました。
ネット通販、ネット銀行、証券、メール、オンライン会議、、、などなど、ウェブサービスは本当に便利ですよね。

それらを使うのには「ログイン」する必要があり、これにはメールアドレスとパスワードを使うのが一般的。
さて、みなさんは「パスワード」をどのように管理していますか?

自分はこれまで、「ちょっと強度の高いパスワードを使い回す」という方法で管理していました。
セキュリティ上「得策」とはいえませんが、以下のメリットがありました。

  • 1つだけパスワードを覚えておけば良い
  • 強度はある程度高い
  • 何も見なくても打てる(コピペなどが不要)

また、以下のリスクがあります。

  • いずれかのサイトからパスワードが漏洩した場合、他の登録サイトでも不正に利用される

しかし、このリスクが顕在化するには相当なハードルが。

  • 漏洩したパスワードが平文であること(ハッシュ化*されていない)
  • 漏洩したパスワードハッシュからテーブルなどを利用してパスワードが割り出されること

(*)ハッシュ化とは、もとのデータに特定の処理を施し、全く別の値(ハッシュ値)に置き換えること。ハッシュ値から「ハッシュ化前の元のデータ」は復元できない。

自分も「今時パスワードを平文で保存しているサイトなどないだろう」と高をくくっていました。

しかし今回とあるサービスに遭遇し、この考えを大きく改めることに。

パスワードを平文で保存しているサービス

さて、すでに見出しにあるとおり、その「できごと」とは、パスワードを平文で保存しているサイトに登録してしまったこと。
通常、パスワードがどのように保存されているのかは分からないもの。
つまり、「運営がちゃんと管理しているのだ」と信頼することしか出来ないわけですね。

しかし今回、サイトのとある機能を通じて「それ」が発覚。

本当の「パスワードリマインダ」

その機能とは、パスワードリマインダです。
パスワードリマインダとは、システムから配信されたメールが見られることで認証し、パスワードを再設定できる機能です。
通常は以下のようになります。

f:id:hitoridehitode:20201229103719p:plain
一般的なパスワードリマインダ

ポイントは、サービス側もパスワードが分からないから、ユーザは新しいパスワードを設定する必要がある点ですね。
多くのサービスでは、パスワードをハッシュ化して保存しているため、サービス側も「既存のパスワードは分からない」ということです。

※ハッシュ化に利用するハッシュ関数の性質上、ハッシュ化前のデータを復元することは困難であり、現実的には「不可能」。

しかし、今回自分が登録したサイトのパスワードリマインダは以下のようになっていました。

f:id:hitoridehitode:20201229104526p:plain
平文のパスワードが確認できる「パスワードリマインダ」

以下が確認用URLをクリックして表示された実際の画面。

f:id:hitoridehitode:20201229183744p:plain
平文のパスワードが。。。
平文のパスワードが表示されており、「平文または復号可能な状態でパスワードが保存されている」ことを確信。(暗号化して保存されている可能性はあるが、漏洩時に不正利用されるリスクを減らすため、復号できない状態で保存しておくのが望ましい。)

ログイン後の会員情報変更画面のソースコードにも、平文のパスワードが出力されている。

f:id:hitoridehitode:20201229105359p:plain
HTMLに出力された平文のパスワード

もちろん、この仕様でも「パスワードが漏洩しない」場合は特に問題になりません。
実際に漏洩したとしても、利用規約上、責任の範囲を制限していれば経済的にはそれほど影響はないかもしれません。
一方で、ユーザからの信頼は地に落ちる可能性が高く、それによりサービスの終了のリスクがあると考えられますね。

本件については、「ご意見」ということでサイトの運営者に連絡し、全てのサイトのパスワードを変更しました。
その際に利用したのがLastPassというサービスです。

LastPassの利用を開始

LastPassはパスワード管理サービスであり、以下のような機能があります。

無料プランの機能

(抜粋)

  • サイトごとのパスワードの保存
  • Chromeなどブラウザの拡張機能としてインストール
  • ブラウザでフォームに認証情報を自動入力
  • デバイス間同期(無料プランでは、PCかモバイルどちらか選んで、そのデバイスタイプのみの利用に改悪。)
  • 使う文字種、長さ、強度を指定したパスワードの生成
  • 2FAのOTP生成アプリ(バックアップ機能あり)

以下のように2FAアプリにて、アカウントの名称を自由に編集できるのも便利なポイント。

f:id:hitoridehitode:20201229114142p:plain:w350
iOS版 LastPass Authenticator

これが可能なアプリはそれほど多くないものの、たくさんの2FAを設定している場合に助けられる機能です。

有料プラン(月額3$)の機能

LastPassの有料プラン(Premium)は月額3$。年間だいたい手数料込みで3,900円です。
iOSのAppStoreでもサブスクリプションが年額3,900円で販売されています。

さっそく有料プランの機能をみてみよう。

(抜粋)

  • セキュリティダッシュボードにより、脆弱なパスワードなどをチェック
  • ダークウェブをモニタリングし、保有しているメールアドレスに関連する漏洩情報をチェック
  • パスワードを他のアカウントにシェア
  • 1GBのセキュアなストレージ(画像などを保存可能)
  • PC、スマホ問わず無制限のデバイス間

これらも強力な機能と言え、より安心してウェブサービスを使えそうですね。
なお、自分はネット証券やネット銀行など、利用すると金銭的な損害が発生するリスクがある可能性を考え、有料プランを契約。

強力なパスワードを設定するのはもちろんだが、

  • 漏洩していない(ダークウェブ上に流れていない)
  • リスクが高いパスワードに気付くことができる

ことが根本的に重要と考えた訳です。

さて、これが「セキュリティダッシュボード」の画面。

f:id:hitoridehitode:20201229112638p:plain
有料プランの「セキュリティダッシュボード」

セキュリティの状態を点数で示してくれるのは分かりやすくて良いですね。
パスワードが再利用された場合などはその「数」が表示され、より詳細な画面に遷移できます。

また、LastPassでログインに使っているメールアドレスが自動でリストアップされ、ダークウェブの監視対象になります。
継続的に監視してくれており、安心感がありますね。

まとめ

iOSやChromeにもデフォルトでパスワード管理機能がついていますが、複数のデバイスやOS、ブラウザを利用する場合は同期しやすいサービスを活用するのが便利ですね。
多くのウェブサービスを利用する方は、ぜひパスワード管理サービスの導入を検討してみてはいかがでしょうか。

www.lastpass.com