パスワード管理アプリ1Passwordの安全性|セキュリティ実態をIT管理プロが解説

「パスワード管理アプリ【1Password】って安全?」

「1Passwordのセキュリティについて知りたい」

1Passwordを使ってみようか考え中の方、また現在使っている方に関しましても、再チェックの意味も含め、本記事を参考にしてみてくださいね。

1Passwordの安全性|サービス側が対策していること

展開しているパスワード管理サービスが、セキュリティ面どのように担保しているのか?

以下リンク先、日本語翻訳ページがない情報を読み解いていきます。

About the 1Password security model(1Password セキュリティ モデルについて)

1.開発者も解読不可能な暗号化

公式サイト情報によれば「マスターパスワードがなければハッキングは事実上不可能」であると解説しています。

How PBKDF2 strengthens your 1Password account password

翻訳するに、パスワードが暗号化されるタイミングは次の通りです。

  • 保管庫でパスワードを管理している状態
  • 保管庫からパスワード転送中の状態

つまりは、「利用者が使うタイミング以外すべて解読できない状態」である説明です。

2.フィッシング手口からの「全方位」な保護対策

暗号化により、「如何なるハッキング技術も無意味である」ここまでOKです。

しかし、情報処理推進機構(IPA)が発表している 情報セキュリティ10大脅威2021年 個人の部ランキング上位から

いかにあなたをダマして、

パスワードを盗みだそうか?

罠に引っ掛かるのを待つ「フィッシング」の手口ばかりです。

システムの不具合・抜け道を探すより、ずっと成功率が高いのでしょうね。

では1Passwordがどのように保護するのか?

罠に引っかからないため、次のような機能が備わっています。

保護機能機能の特徴
利用者の操作ミスからの漏えい保護・パスワードコピー状態を一定期間でクリア
・パスワード入力する/しない利用者の操作
ブラウザー安全性の検証・ブラウザーの改ざんをチェック
・安全なブラウザーである証明書チェック
不正サイト利用の保護・パスワード入力フィールドの盗聴チェック
・フィッシング詐欺サイトからの保護
なりすましログイン対策・生体認証による本人確認
・2要素認証

3.1Passwordセキュリティの透明性

1Passwordはセキュリティ技術をオープンにしています。

適切な技術を持った人間が理解できるような「オープンソース」であり、サービスの透明性を担保していることを示しています。

  • 保管庫のデータの持ち方の技術開示
  • 起用している暗号化アルゴリズム
  • プライバシーの尊重、重視
  • パスワード情報のエクスポートツールの準備

要約するに、次のことを示していますよ。

  • 不利益なサービス展開なのか?利用者が判断できるようにしている
  • サービスの不具合、脆弱性を公開している

セキュリティ技術をオープンにしている理由、実は明確な目的があります。

それは「全世界を巻き込んだセキュリティ監査」というスケールの大きいことをやっているわけですね。

1Passwordはサービスの脆弱性、バグに報奨金をかけている「バグバウンティ/脆弱性報奨金制度を設けています。

世界中の技術力あるエンジニアの鼻先に、ニンジンをぶら下げているわけですね(笑)影響度の高いバグがない理由です。

買い切り3年版は「ソースネクスト」だけ!

詳しくはコチラ

1Passwordを安全に使うための5つのセキュリティ対策

いくらサービス側のセキュリティ対策がバッチリだとしても、使い手側が「おでこにパスワード貼り付けて歩いているようなモノ」だとしたら無意味ですよね。

1Passwordを使う側が必要な「セキュリティ意識、また対策とする設定」を5つ列挙してみました。

  • マスターパスワードを2要素認証でガードする
  • 不正サイトに無理やりパスワードを入力しない
  • 1Passwordのリンクを第三者と共有しない
  • 1Passwordのアクティビティを確認する
  • 1Passwordからのセキュリティ侵害通知を受け取る

以下順に説明していきます。

マスターパスワードを2要素認証で保護

解読可能な暗号化をされていようが、第三者がマスターパスワードを知っていたら意味がありません。

たとえ「機械に任せて、120文字の超大作なパスワードを設定」していようと、ハッカーからしてみればクリップボードにコピーしたパスワードを搾取してしまえば、「はい、おつかれ~」一発でアウトですよ?

そのため「パスワードなんて、既に搾取されているでしょ?」これくらいの意識は持ち、必ず「2要素認証を設定すること」当サイトは強く推奨します。

またセキュリティ意識が高い方には、YubiKeyやFeitianなどのU2Fセキュリティキーの利用もご検討してほしいと思います。

不正サイトに無理やりパスワードを入力しない

パスワード登録していない、または登録とは異なるサイトへ無理やりパスワード入力を行わないことです。

下図の通り、1Passwordは警告メッセージを表示します。

ここで思いとどまり、[キャンセル]を押して前画面へ戻るようにしてください。

1Passwordのリンク「第三者と共有しない」

1Passwordは、登録したパスワードから2種類の形式でリンクを発行できます。

  • 「リンクを共有」・・・パスワード情報へのショートカットリンク
  • 「共有」・・・パスワードを複製する

パスワード管理アプリとしては非常に珍しい機能です。なぜなら、「他社と共有する」すなわち「情報漏えいリスクが高い」からですね。

個人であれば、パスワードを他人と共有するような使い方は通常しないはずですので、不必要な共有は使わないようにしましょう。

関連記事
パスワードとリマインダーを連携!1Passwordの便利な使い方

続きを見る

1Passwordのアクティビティを確認する

1Passwordを使用している「場所、時間、デバイス」の確認です。

ブラウザーから1Passwordにログインし、マイプロフィールからチェックできますよ。

1Passwordアクティビティ
1Password - アクティビティ

また1Passwordは、通常と異なるサインインがあると登録したメールアドレス宛へアクティビティ情報を通知します。

不正アクセスの兆しがないか、メールの通知はチェックするようにしましょうね。

1Passwordからのセキュリティ侵害通知を受け取る

Watchtower(日本語だと「監視塔」)機能をオンにすることです。

どのような機能かというと、例えば、あなたがパスワードとセットで登録したサイトがセキュリティインシデントを起こした場合、Watchtowerが通知してくれるんですね。

初期値はオフになっているので、オンにすることを推奨します。

そして万が一にもWtchtowerから通知があった場合は、対象サイトのログインパスワード変更、またはアカウント停止も検討してみましょう。

まとめ

1Passwordの安全性・セキュリティ対策でした。

サービス側が対策していることを知れば、自ずと使う側が意識して対策しなければならないセキュリティのポイントが見えてきますね。

あなたが対策しなければならないこと、意識するべきポイントは決して多くありませんので、本記事ご参考として頂ければ幸いです。

買い切り3年版は「ソースネクスト」だけ!

詳しくはコチラ

-セキュリティ
-,