セキュリティ

1Password【セキュリティ対策を知る】IT管理プロが解説

2021年8月29日

「パスワード管理アプリ『1Password』安全に使う方法、セキュリティについて知りたい」

1Passwordを使ってみようか考え中の方、また現在使っている方に関しましても、再チェックの意味も含め、本記事を参考にしてみてくださいね。

1Passwordのセキュリティ|サービス側が対策していること

展開しているパスワード管理サービスが、セキュリティ面どのように担保しているのか?

以下リンク先、日本語翻訳ページがない情報を読み解いていきます。

About the 1Password security model(1Password セキュリティ モデルについて)

1.開発者ですら解読できない暗号化方式

「マスターパスワードがなければ、暗号化したパスワード情報は誰も突破できない

1Passwordはこのように示しています。

実際に暗号化されるタイミングは、次のようなシーンですね。

  • 保管庫でパスワードを管理している状態
  • パスワードを使うため,、保管庫からパスワード転送中の状態

コンピューターの世界に「ぜったいはない」というのが鉄則ですが、以下サイトでは「マスターパスワードがなければハッキングは事実上不可能」であると解説しています。

How PBKDF2 strengthens your 1Password account password

2.情報を盗み取る手口からの「全方位」な保護対策

暗号化によりハッキングされないことはわかりました。

しかし、情報処理推進機構(IPA)が発表している 情報セキュリティ10大脅威2021年 個人の部ランキング上位からして、いかにあなたをダマし、パスワードを盗みだそうか?罠に引っ掛かるのを待つ手口ばかりです。

システムの不具合・抜け道を探すより、ずっと成功率が高いのでしょう。

では1Passwordがどのように保護するのかというと、罠に引っかからないための機能が備わっています。

保護機能機能の特徴
利用者の操作ミスからの漏えい保護・パスワードコピー状態を一定期間でクリア
・パスワード入力する/しない利用者の操作
ブラウザー安全性の検証・ブラウザーの改ざんをチェック
・安全なブラウザーである証明書チェック
不正サイト利用の保護・パスワード入力フィールドの盗聴チェック
・フィッシング詐欺サイトからの保護
なりすましログイン対策・生体認証による本人確認
・2要素認証

3.1Passwordセキュリティの透明性

1Passwordはセキュリティ技術をオープンにしていることです。

適切なスキルを持った人間が理解できる「オープンソース」であり、透明性の担保を示しています。

  • 保管庫のデータの持ち方の技術開示
  • 起用している暗号化アルゴリズム
  • プライバシーの尊重、重視
  • パスワード情報のエクスポートツールの準備

セキュリティ技術をオープンにしている理由、実は明確な目的があり、それは「全世界を巻き込んだセキュリティ監査」というスケールの大きいことをやっているわけですね。

1Passwordはサービスの脆弱性、バグに報奨金をかけている「バグバウンティ/脆弱性報奨金制度を設けています。

1Passwordを安全に使うための5つのセキュリティ対策

いくらサービス側のセキュリティ対策がバッチリだとしても、使い手側が「おでこにパスワード貼り付けて歩いているようなモノ」だとしたら無意味ですよね。

1Passwordを使う側が必要な「セキュリティ意識、また対策とする設定」を5つ列挙してみました。

  • マスターパスワードを2要素認証でガードする
  • 不正サイトに無理やりパスワードを入力しない
  • 1Passwordのリンクを第三者と共有しない
  • 1Passwordのアクティビティを確認する
  • 1Passwordからのセキュリティ侵害通知を受け取る

順に解説していきます。

1.マスターパスワードを2要素認証で保護

解読可能な暗号化をされていようが、第三者がマスターパスワードを知っていたら意味がありません。

たとえ「機械に任せて、120文字の超大作なパスワードを設定」していようと、ハッカーからしてみればクリップボードにコピーしたパスワードを搾取してしまえば、「はい、おつかれ~」一発でアウトですよ?

そのため「パスワードなんて、既に搾取されているでしょ?」これくらいの意識は持ち、必ず「2要素認証を設定すること」当サイトは強く推奨します。

またセキュリティ意識が高い方には、YubiKeyやFeitianなどのU2Fセキュリティキーの利用もご検討してほしいと思います。

2.不正サイトに無理やりパスワードを入力しない

パスワード登録していない、または登録とは異なるサイトへ無理やりパスワード入力を行わないことです。

下図の通り、1Passwordは警告メッセージを表示します。

ここで思いとどまり、[キャンセル]を押して前画面へ戻るようにしてください。

3.1Passwordのリンク「第三者と共有しない」

1Passwordは、登録したパスワードから2種類の形式でリンクを発行できます。

  • 「リンクを共有」・・・パスワード情報へのショートカットリンク
  • 「共有」・・・パスワードを複製する

パスワード管理アプリとしては非常に珍しい機能です。なぜなら、「他社と共有する」すなわち「情報漏えいリスクが高い」からですね。

個人であれば、パスワードを他人と共有するような使い方は通常しないはずですので、不必要な共有は使わないようにしましょう。

【参考】1Password共有の使い方1Password「リマインダーと連携させる」超便利な使い方

続きを見る

4.1Passwordのアクティビティを確認する

1Passwordを使用している「場所、時間、デバイス」の確認です。

ブラウザーから1Passwordにログインし、マイプロフィールからチェックできますよ。

1Passwordアクティビティ
1Password - アクティビティ

また1Passwordは、通常と異なるサインインがあると登録したメールアドレス宛へアクティビティ情報を通知します。

不正アクセスの兆しがないか、メールの通知はチェックするようにしましょうね。

5.1Passwordからのセキュリティ侵害通知を受け取る

Watchtower(日本語だと「監視塔」)機能をオンにすることです。

どのような機能かというと、例えば、あなたがパスワードとセットで登録したサイトがセキュリティインシデントを起こした場合、Watchtowerが通知してくれるんですね。

初期値はオフになっているので、オンにすることを推奨します。

そして万が一にもWtchtowerから通知があった場合は、対象サイトのログインパスワード変更、またはアカウント停止も検討してみましょう。

まとめ

1Passwordのセキュリティ対策でした。

1Password - Password Manager

1Password - Password Manager

AgileBits Inc.無料posted withアプリーチ

サービス側が対策していることを知れば、自ずと使う側が意識して対策しなければならないセキュリティのポイントが見えてきますね。

あなたが対策しなければならないこと、意識するべきポイントは決して多くありませんので、本記事の情報を参考にしてみてくださいね。

  • この記事を書いた人

どうなの

ITとITをつなぐ【ICTライフサイクル管理】15年のプロ。 企業5社を渡り歩いた知見からの『ICTでお悩み解決、生活品質&生産性アップ』なノウハウを情報発信しています。

-セキュリティ
-,