パスワード管理アプリ1Passwordは安全?
1Passwordのセキュリティについて知りたい
情報セキュリティ資格を有する、IT管理プロが解説していきます。
この記事を書いた人
- 5社を渡り歩いたIT管理15年プロ
- 情報セキュリティ(SG)資格保持
- ITIL資格で改善!実践知10年以上
1Passwordを使ってみようかお考え中の方、また現在ご使用中の方も「安全に使えているのか?」本記事を参考にしてみてくださいね。
1Passwordの安全性対策3つ
1Password公式サイトで公開している、3つの安全対策です。
- エンドツーエンドな暗号化
- スマート機能
- 完全な透明性
原文はコチラ↓ですが、専門用語&英語なので「何のことやら?」ですよね。
About the 1Password security model(1Password セキュリティ モデルについて)
日本語のわかりやすい言葉にしてみます。
1. 開発者も解読できない暗号化レベル
たとえ1Passwordがハッキングされても、マスターパスワードがなければ読み取れない解除できない暗号化の仕組みです。
- エンドツーエンドな暗号化
- 256ビットAES暗号化
- 疑似乱数ジェネレーター
- PBKDF2強化キー
技術用語ばかりですが、"とにかく暗号化がスゴい!"ということですね。
因みにですが、パスワードは次の場面で暗号化されていると説明されています。
- 保管庫でパスワードを管理している状態
- 保管庫からパスワード転送中の状態
つまり、本人がパスワードを使うタイミング以外、ずっと暗号化している状態であることを示します。
2. スマート機能でパスワードを保護
スマート機能とは、パスワードを使う「ヤバい!あぶない!」場面を想定し、1Passwordの設定で保護してくれる機能です。
どのような観点なのか?というと、下表の通りですね。
| パスワード保護の観点 | 機能の特徴 |
|---|---|
| 操作ミスからの漏えい保護 | |
| ブラウザ安全性の検証 | |
| 不正サイト利用の保護 | |
| なりすましログイン対策 |
1Passwordの設定としては、下記が該当します。
- クリップボードのクリア
- 自動ロック
- 脆弱性アラート
- 自動入力の確認
- 生体認証
- Webサイトの安全性チェック
つまり、管理しているパスワードの安全性だけでなく、ログインするサイトが安全なのか?までチェックしているということですね。
3. 1Passwordセキュリティ技術の透明性
1Passwordはセキュリティ技術をオープンにしています。
適切な技術を持った人間が理解できるような「オープンソース」であり、サービスの透明性を担保していることを示しています。
- 保管庫のデータの持ち方の技術
- 起用している暗号化アルゴリズム
- プライバシーの尊重、重視
- パスワード情報の出力機能
そして、1Passwordはサービスの脆弱性、バグに報奨金をかけている「バグバウンティ/脆弱性報奨金制度」を設けています。
これは、「全世界のエンジニアを巻き込み脆弱性を対策している」というスケールの大きいことをやっているわけですね。
- 健全性を利用者が判断できる仕組み
- サービスの不具合、脆弱性を公開している
1Password 3年版セール情報
\ 6月11日まで /
| 利用人数/割引金額 | クーポンコード |
|---|---|
| 1人用/1,000円 | 1PASS-0601 |
| ファミリー(5人用)/2,000円 | 1PASS-0602 |
1Passwordを安全に使う5つの方法
いくらサービス側のセキュリティ対策がバッチリだとしても、使い手側が「おでこにパスワード貼り付けて歩いているようなモノ」だとしたら無意味ですよね。
1Passwordを使う側が必要な「セキュリティ意識、また対策とする設定」を5つ列挙してみました。
- マスターパスワードを2要素認証で保護
- 不審なサイトで1Passwordを使わない
- 1Passwordリンクを第三者と共有しない
- 1Passwordのアクティビティを確認する
- 1Passwordセキュリティ侵害を通知する
以下順に説明していきます。
1. マスターパスワードを2要素認証で保護
解読可能な暗号化をされていようが、第三者がマスターパスワードを知っていたら意味がありません。
たとえ「機械に任せて、120文字の超大作なパスワードを設定」していようと、ハッカーからしてみればクリップボードにコピーしたパスワードを搾取してしまえば、「はい、おつかれ~」一発でアウトですよ?
そのため「パスワードなんて、既に搾取されているでしょ?」これくらいの意識は持ち、必ず「2要素認証を設定すること」当サイトは強く推奨します。
2. 不審なサイトで1Passwordを使わない
パスワード登録していない、または登録とは異なるサイトへ無理やりパスワード入力を行わないことです。
下図の通り、1Passwordは警告メッセージを表示します。
ここで思いとどまり、[キャンセル]を押して前画面へ戻るようにしてください。
3. 1Passwordリンクを第三者と共有しない
1Passwordは、2つのリンクを発行する機能があります。
- 第三者がアクセスできない「プライベートリンク」
- 共有期間、対象者を設定できる「共有」
パスワード管理アプリとしては非常に珍しい、使い勝手のよい機能です。
しかし他者と共有できること、すなわち「情報漏えいリスクが高い」ということを示します。
個人であれば、パスワードを他人と共有するような使い方は通常しませんので、不用意にリンク機能は使わないようにしましょう。
4. 1Passwordのアクティビティ確認
1Passwordを使用している「場所、時間、デバイス」の確認です。
ブラウザから1Passwordにログインし、マイプロフィールからチェックできますよ。
また1Passwordは、通常と異なるサインインがあると登録したメールアドレス宛へアクティビティ情報を通知します。
不正アクセスの兆しがないか、メールの通知はチェックするようにしましょう。
5. 1Passwordセキュリティ侵害の通知
Watchtower(日本語だと「監視塔」)機能をオンにすることです。
どのような機能かというと、例えば、あなたがパスワードとセットで登録したサイトがセキュリティインシデントを起こした場合、Watchtowerが通知してくれるんですね。
初期値はオフになっているので、オンにすることを推奨します。
そして万が一にもWtchtowerから通知があった場合は、対象サイトのログインパスワード変更、またはアカウント停止も検討してみましょう。
まとめ
1Passwordの安全性・危険性の解説でした。
サービス側が対策していることを知れば、自ずと使う側が意識して対策しなければならないセキュリティのポイントが見えてきますね。
1Passwordであれば、利用者が対策しなければならないこと、意識するべきポイントは少ないので、パスワード管理の負担を大きく減らすことができますよ。
1Password 3年版セール情報
\ 6月11日まで /
| 利用人数/割引金額 | クーポンコード |
|---|---|
| 1人用/1,000円 | 1PASS-0601 |
| ファミリー(5人用)/2,000円 | 1PASS-0602 |
