1Passwordの【安全性】危険性は?情報セキュリティ観点で解説

パスワード管理アプリ1Passwordは安全?

1Passwordのセキュリティについて知りたい

情報セキュリティ資格を有するIT管理プロが解説していきます。

1Passwordを使ってみようかお考え中の方、また現在ご使用中の方も「安全に使えているのか?」本記事を参考にしてみてください。

\さらに6月30日(木)まで割引中/

ソースネクストを見てみる

1Passwordの安全性|サービス側が対策していること

展開しているパスワード管理サービスが、セキュリティ面どのように担保しているのか?

以下リンク先、日本語翻訳ページがない情報を読み解いていきます。

About the 1Password security model(1Password セキュリティ モデルについて)

開発者も解読不可能な暗号化

公式サイト情報によれば「マスターパスワードがなければハッキングは事実上不可能」であると解説しています。

How PBKDF2 strengthens your 1Password account password

翻訳するに、パスワードが暗号化されるタイミングは次の通りです。

  • 保管庫でパスワードを管理している状態
  • 保管庫からパスワード転送中の状態

つまりは、「利用者が使うタイミング以外すべて解読できない状態」である説明です。

フィッシング手口からの「全方位」な保護対策

暗号化により、「如何なるハッキング技術も無意味である」ここまでOKです。

しかし、情報処理推進機構(IPA)が発表している 情報セキュリティ10大脅威2021年 個人の部ランキング上位から

いかにあなたをダマして、

パスワードを盗みだそうか?

罠に引っ掛かるのを待つ「フィッシング」の手口ばかりです。

システムの不具合・抜け道を探すより、ずっと成功率が高いのでしょうね。

では1Passwordがどのように保護するのか?

罠に引っかからないため、次のような機能が備わっています。

保護機能機能の特徴
操作ミスからの漏えい保護
  • パスワードコピー状態を一定期間でクリア
  • パスワード入力する/しない利用者の操作
  • ブラウザー安全性の検証
  • ブラウザーの改ざんをチェック
  • 安全なブラウザーである証明書チェック
  • 不正サイト利用の保護
  • パスワード入力フィールドの盗聴チェック
  • フィッシング詐欺サイトからの保護
  • なりすましログイン対策
  • 生体認証による本人確認
  • 2要素認証
  • 1Passwordセキュリティ技術の透明性

    1Passwordはセキュリティ技術をオープンにしています。

    適切な技術を持った人間が理解できるような「オープンソース」であり、サービスの透明性を担保していることを示しています。

    • 保管庫のデータの持ち方の技術
    • 起用している暗号化アルゴリズム
    • プライバシーの尊重、重視
    • パスワード情報のエクスポートツールの準備

    そして、1Passwordはサービスの脆弱性、バグに報奨金をかけている「バグバウンティ/脆弱性報奨金制度を設けています。

    これは、「全世界のエンジニアを巻き込み脆弱性を対策している」というスケールの大きいことをやっているわけですね。

    • 健全性を利用者が判断できるようにしている
    • サービスの不具合、脆弱性を公開している

    \さらに6月30日(木)まで割引中/

    ソースネクストを見てみる

    1Passwordを安全に使うための5つのセキュリティ対策

    いくらサービス側のセキュリティ対策がバッチリだとしても、使い手側が「おでこにパスワード貼り付けて歩いているようなモノ」だとしたら無意味ですよね。

    1Passwordを使う側が必要な「セキュリティ意識、また対策とする設定」を5つ列挙してみました。

    • マスターパスワードを2要素認証でガードする
    • 不正サイトに無理やりパスワードを入力しない
    • 1Passwordのリンクを第三者と共有しない
    • 1Passwordのアクティビティを確認する
    • 1Passwordからのセキュリティ侵害通知を受け取る

    以下順に説明していきます。

    マスターパスワードを2要素認証で保護

    解読可能な暗号化をされていようが、第三者がマスターパスワードを知っていたら意味がありません。

    たとえ「機械に任せて、120文字の超大作なパスワードを設定」していようと、ハッカーからしてみればクリップボードにコピーしたパスワードを搾取してしまえば、「はい、おつかれ~」一発でアウトですよ?

    そのため「パスワードなんて、既に搾取されているでしょ?」これくらいの意識は持ち、必ず「2要素認証を設定すること」当サイトは強く推奨します。

    また「ログインのセキュリティをもっと高めたい!」という方は、「FIDO認証」という物理キーを使ったパスワードなしでオンラインサービスを使う認証方法も知っておいてください。

    不正サイトに無理やりパスワードを入力しない

    パスワード登録していない、または登録とは異なるサイトへ無理やりパスワード入力を行わないことです。

    下図の通り、1Passwordは警告メッセージを表示します。

    ここで思いとどまり、[キャンセル]を押して前画面へ戻るようにしてください。

    1Passwordのリンク「第三者と共有しない」

    1Passwordは、登録したパスワードから2種類の形式でリンクを発行できます。

    • 「リンクを共有」・・・パスワード情報へのショートカットリンク
    • 「共有」・・・パスワードを複製する

    パスワード管理アプリとしては非常に珍しい機能です。

    なぜなら、他者との共有すなわち「情報漏えいリスクが高い」からですね。

    個人であれば、パスワードを他人と共有するような使い方は通常しないはずですので、不必要な共有は使わないようにしましょう。

    1Passwordのアクティビティを確認する

    1Passwordを使用している「場所、時間、デバイス」の確認です。

    ブラウザーから1Passwordにログインし、マイプロフィールからチェックできますよ。

    1Passwordアクティビティ
    1Password - アクティビティ

    また1Passwordは、通常と異なるサインインがあると登録したメールアドレス宛へアクティビティ情報を通知します。

    不正アクセスの兆しがないか、メールの通知はチェックするようにしましょう。

    1Passwordからのセキュリティ侵害通知を受け取る

    Watchtower(日本語だと「監視塔」)機能をオンにすることです。

    どのような機能かというと、例えば、あなたがパスワードとセットで登録したサイトがセキュリティインシデントを起こした場合、Watchtowerが通知してくれるんですね。

    初期値はオフになっているので、オンにすることを推奨します。

    そして万が一にもWtchtowerから通知があった場合は、対象サイトのログインパスワード変更、またはアカウント停止も検討してみましょう。

    まとめ

    1Passwordの安全性・セキュリティ対策でした。

    サービス側が対策していることを知れば、自ずと使う側が意識して対策しなければならないセキュリティのポイントが見えてきますね。

    1Passwordであれば、利用者が対策しなければならないこと、意識するべきポイントは少ないので、パスワード管理の負担を大きく減らすことができますよ。

    \さらに6月30日(木)まで割引中/

    ソースネクストを見てみる

    • この記事を書いた人

    どうなの

    デジタルの「わかりにくい・ズバり知りたい」をわかりやすく。 システム管理のプロが「安全・便利に使う」ICTノウハウ発信中

    -セキュリティ
    -,