政府もすすめるパスワードマネージャーとはどうして安全で便利なのか?~機能と仕組みをやさしく解説

パスワードマネージャー(パスワード管理ツール)の機能と利便性

「パスワードマネージャー」の基本機能

「パスワードマネージャー」の基本的な機能は、パスワードに関する以下の2つの機能です。

基本機能1.あなたに代わってパスワードを生成し、安全・確実に記録し保管する。

  • たくさんのパスワード安全に保管し、暗号化してIDと共に安全な方法で保管してくれる。
  • パスワードはいつでも追加や編集が可能。

基本機能2.あなたに代わってパスワードを入力してくれる。

  • サイトやアプリでIDやパスワードの入力が必要なとき、自動的に保存しているIDやパスワードを表示したり、あなたに代わって代行入力してくれる。

 

あなたが覚えるのはマスターパスワードだけ!

パスワードマネージャーはどんなにたくさんのパスワードがあっても、あなたに代わってきちんと安全に覚えてくれます。

しかし、「パスワードマネジャーの所有者があなたであることを確認するため」に、ひとつのパスワードだけは覚えなければなりません

このパスワードを「マスターパスワード」と言います。

マスターパスワードは、あなたが所有者であることを確認するだけでなく、パスワードマネージャーに保存されているパスワードデータを暗号化する「鍵」としても使われます。

したがって、マスターパスワードだけは、長く複雑なパスワードを作ってしっかり記憶し、絶対に他人に知られないようにしましょう

※マスターパスワードについて詳しくは後でご説明します。

 

「パスワードマネージャー」についている便利な機能

「パスワード管理ツール」は上の基本機能に加えて、次のような便利な追加機能を提供してくれるものがほとんどです。

PCやスマホなど、機種を超えたパスワードの共用機能

パスワードマネージャーには、スマホ一台で単独で使うものもありますが、今の主流は「パスワードデータを暗号化して、クラウド上に安全に保存する」クラウドタイプのものです。
クラウドタイプのパスワードマネージャーでは、パスワードは、PCでもスマホでも、あなたがお持ちのすべてのデバイスで共用でき、どこかで修正しても即座に反映されます。
利便性や安全面でも、クラウドタイプのパスワードマネージャーを使うようおすすめします。

安全で推測不可能なパスワードの提案と保存機能

新しくアカウントを作るときに「どんなパスワードを作るか?」いつも悩んでしまいますが、パスワードマネージャーは「A!&jkKD*76*mdS@7#」みたいな強いパスワードを作って提案してくれ、ワンタッチで記入、保存してくれます。

保存しているパスワードを安全性チェック機能

あなたが預けているパスワードをチェックし、安全度や、外部に流出していないか調べてくれます。危ないときは変更をすすめてくれます。

秘密の情報を保管する「安全デジタル金庫」の機能

IDやパスワードのアカウント情報だけでなく、クレジッカード情報や銀行口座情報などの機密情報を安全に保管します。
「支払でカード情報を入力」する時は、あなたに代わってカード情報を入力してくれるものもあります

その他のパスワードマネージャーの便利な機能

パスワードマネージャーの製品によっては以下のような便利で安全な機能を提供している物もあります。

Wifiの安全な接続提供機能

街中のWifiには、情報漏えいにつながる危険なWifiもあります。
そこでユーザーがWifiに接続した際に、自動的に情報が漏れない安全な回線(VPN)で接続してくれる機能を提供する製品もあります。

パスワード情報の家族や友人と共用する機能

パスワードマネージャーに保存しているアカウントの情報を、家族や友人間で共用できる機能を持つものもあります。

家族で使う「ネット配信サービスのパスワード」などは紙に書いておくのではなく、パスワードマネージャーの家族共用にしておくと安全ですし、オフィスでも活用できそうです。

いざという際にパスワード情報を伝える機能

万一の際に、あらかじめ指定していた人に、預かっていたパスワードほかの機密情報を安全に受け渡す機能を持つものもあります。

 

 

流出リスクがない~パスワードマネージャー(パスワード管理ツール)」の仕組みを知る

パスワードマネージャーのマスターパスワードが重要な意味を持つ

「パスワード管理ツール」では、あなた自身が設定する「パスワード管理ツールを使うためのパスワード=マスターパスワード」が極めて重要となります。

マスターパスワードは、他人があなたのパスワードマネージャーを勝手に使用しないようにするだけでなく、「あずけるデータの暗号化の鍵」という重要な役割を持っています。

マスターパスワードの果たす機能

  1. パスワードマネージャーは、マスターパスワードを鍵にして、あなたが入力するパスワード他すべての情報を暗号化して、解読不能な形式に変換します。
  2. 保管された情報も、クラウド上のパスワード管理ツールの本体に送られる情報も、すべてマスターパスワードを鍵として暗号化されています。
  3. サービスを運営している会社の技術者もマスターパスワードを知ることはできませんので「預かっているデータを読むことは不可能」です。

逆をいえば、

もしもあなたが自分のマスターパスワードを忘れてしまえば、あなたを含めて、永遠に誰もデータを読むことはできなくなります

マスターパスワードだけは、くれぐれもしっかり記憶しましょう。

※パスワードマネージャーの製品によっては、マスターパスワードを「記憶に頼る」以外の方式で、大切に保存できるものもあります。

 

マスターパスワードと暗号化で秘密を守る仕組みとは?

マスターパスワードによって、パスワードマネージャーの安全が守られる仕組みを、簡単な図でご説明します。

あるサービスの利用パスワード「123456」を「パスワードマネージャー(パスワード管理ツール)」に登録すると、データはどう流れて行くかを簡略化して図式にしてみました。

  1. マスターパスワードを「ABCDE」とする。
  2. パスワード「123456」を登録し、スマホで呼び出して利用する

ケースを想定して図解しています。「1」から「8」までデータの流れを追ってみてください。

マスターパスワードを鍵にすることで、パスワードのデータは外部に出ることはなく、あなたのパスワードが安全に管理されている仕組みが分かります。

 

 

パスワードマネージャーは本当に安全か?リスクを考えないで良いのか?

もしもパスワードマネージャーが事故にあったらどうなる?

毎日のように、「不正ログイン」「情報漏えい」の事件を目にします。

「もしも自分のマスターパスワードが盗まれたら、すべてのパスワードが盗まれてしまうのでは?」

「パスワードマネージャーの運営会社がハッキング攻撃されたら、すべてのパスワードが流出してしまわないか?」

今のように流出事件が多いと、そのリスクは高いような気がしますが、、、。

 

信頼できるパスワードマネージャーには、十分なセキュリティ対策が施されていて、漏えいはあり得ない

信頼できるパスワードマネージャーの運営会社はセキュリティの専門会社

ユーザーや企業の大切な機密情報を預かる、パスワードマネージャーの有料サービスを運営している会社が、もし漏えい事故を起こして被害が生じた場合、会社の責任は恐るべきものとなることは容易に想像できます。

そこで、信頼できるパスワードマネージャーを長期間運営してきた会社は、十分なセキュリティ技術を持ち、安定した経営をしている会社だけが残ります。

パスワードマネージャーの何重にもわたる安全対策とは?

上の図では説明のためにかなり簡略化して書いてあります。

実際はパスワードマネージャーのシステムでは、「マスターパスワードを鍵とした暗号化」たけでなく、さらに「機密を守るための最新技術」が何重にもかけられて、「仕組み上、漏えいは起こり得ない」ように作られています。

たとえば、パスワードマネージャーが使用される時に、

  • 「いつもと違う端末(スマホ、パソコン)から操作された」
  • 「いつもと違う場所で操作された」

のような不審な行動があると、パスワードマネージャーは自動的に察知して、ユーザーのスマホに通知し、ユーザー本人が承認しないと先に進めないようになっています。

これと二段階認証と組み合わせると、「パスワードマネージャーにユーザーが預けたデータが漏えいして悪用されることはあり得ない」レベルとなっています。

一例として数年前、「パスワードマネージャー」の最大手で、個人から企業まで膨大なユーザーを持つ老舗のアメリカ企業Lasppass社に外部からハッカーの侵入事件があり、保存しているデータの一部が漏えいしました。

しかし暗号化などの各種対策が有効で、漏えいしたデータも復元不要なものであり、悪用はなく、全く被害はありませんでした。

パスワード管理サービスのLastPassでデータ漏えい
クラウドベースのパスワード管理サイトLastPassは、アカウントのメールアドレス、パスワードリマインダなどの情報が漏えいしたことを明らかにした。
CNET Japan
 
https://japan.cnet.com/article/35065969/

 

リスクを冷静に比較して判断しよう

少なくとも、ユーザーが自分の記憶に頼ったり、紙に書いたりしてパスワードを管理する危険性に比べると、パスワードマネージャーの漏えいリスクは、比べようもないほど、桁違いに安全です。

「使用を迷う必要はない」と断言できます。

ブログ内の関連記事(新しいウィンドウで開きます)
クラウドサービスは本当に安心?~大切な情報、機密情報を預ける先のクラウドの安全性とは

クラウド上で運営されているクラウドサービスが盛んです。便利ですが「目に見えないクラウド上に大切なデジタルデータを預けて良いのか?」と心配になる方も多いと思います。しかし現在のクラウドサービスは、ユーザー側がミスさえしなければ極めて安[…]

クラウドサービスの安全性のイメージイラスト

 

さらに自分のマスターパスワードは二段階認証で守る

仮にパスワードがもれても、二段階認証がきちんと設定してあれば、他人はあなたのパスワードを使うことはできません。

ブログ内の関連記事(新しいウィンドウで開きます)
パスワードもれても安全な二段階認証とは。その仕組みを徹底解説

アカウントに二段階認証(二要素認証)をしておけば、万一パスワードが他人に使われても不正ログインされる心配ありません。「アカウントの乗っ取り」も起きませんし「セブンペイ事件」も「ドコモdアカウントの不正ログイン」も二段階認証があれば防げました[…]

「パスワードマネージャー(パスワード管理ツール)」をサービスとして提供している企業は、高度な二段階認証を当然提供しています。

使う際は、二段階認証さえを設定しておけば、あなたのマスターパスワードが流出するリスクを完全に防ぐことができます

 

ブログ内の関連記事(新しいウィンドウで開きます)
二段階認証のおかげで助かった~dアカウントパスワードを使い回した私の怖い体験談~

身に覚えがない「dアカウントでログインした方に送信しています」とか「dアカウントのセキュリティコード確認」などの通知メッセージを受け取った方はいませんか?2018年の秋。dアカウントのパスワードを使い回していた私は、不正アクセスされて不[…]

フィッシング犯人より「dアカウント セキュリティコードの入力を求める」SMS
次ページ:信頼できるパスワードマネージャーの選び方