パスワード管理アプリ 1Password(ワンパスワード)の安全性について、情報セキュリティ資格を有するIT管理プロが評価しました。
「1Passwordは、本当に安全なのか?」気になる方は、ぜひ本記事をご参考ください。
1Passwordの「安全性」公式情報
1Password公式サイトで示している、3つの安全対策です。
- エンドツーエンドな暗号化
- スマートな脅威対策
- 完全な透明性
引用元:About the 1Password security model
つまり、「暗号化がスゴい!ハッカーは侵入できない!専門家にも見てもらっているよ!」と示しています。
1Passwordの安全性を3つのポイントで評価!
1Passwordが示す「安全対策」は果たして本当なのか?
インシデントやトラブルが発生していないか?以下3点を調べた結果を順に説明していきます。
1. 1Passwordの個人情報リスク
- 地理的な要因リスクがある
- 情報漏えいの事例がある
地理的な要因リスクがある
1Passwordの所在地はカナダです。
1Password is a Canadian company located at 4711 Yonge St, 10th Floor, Toronto, Ontario, M2N 6K8, Canada.
引用元:AgileBits Privacy Policy
そしてプライバシーポリシーには、「万が一もの個人情報を漏らし、知的財産権を侵害したという訴えは、カナダのオンタリオ州の法律で争ってやんよ」と記されています。
もっと詳しく知りたい方は、1Password公式の Privacy Policy(英語のみ) を読み進めるしかないでしょう。
情報漏えいの事例なし
2023年10月に報じられた、「Okta」という認証サービスの "とばっちり" に関する1件のみでした。1Passwordは「不正侵入は阻止した」と発表しています。
2. 1Passwordの脆弱性「最新版アプリで対策」
1Password脆弱性の情報から、影響の大きい3件を表にしてみました。
| 公表日 | ID | タイトル要約 |
|---|---|---|
| 2020年10月27日 | JVNB-2020-012552 | 1Password各種ツールの不正使用に関する脆弱性 |
| 2021年9月27日 | JVNB-2021-012864 | Mac用1Passwordにおける脆弱性 |
| 2022年6月15日 | JVNB-2022-011860 | 複数の1Password製品における脆弱性 |
基本、最新の1Passwordアプリを使っていれば問題ありません。
3. 1Passwordのシステム稼働率は「99.98%」以上
稼働率の根拠は、1Password公式「Uptime History」を参考にしています。
1Passwordは「クラウドサービス」つまり、オンライン上にある1Passwordのシステムと連動するサービスのため、システム障害によっては「パスワード使えねー」という事態に陥るかもしれません。
そして「稼働率99.98%」を3カ月(90日間)で割り出すと、約17分くらいシステムトラブルが計算になります。
1Passwordアプリは、インターネットに接続しない「オフライン」の状態でも使えますので、「パスワード使えねー」という事態に陥るレベルではないと評価しています。
1Passwordを安全に使う5つのポイント
ここまでのおさらい
地理的な要因リスクは否めないものの、安全対策はバッチりなパスワード管理アプリであることはお分かりいただけたはずです。
そうなると次に知りたいことは、
安全に1Passwordを使う方法、
使う側が気をつけることは?
ですよね。ではズバり!安全に使うための5つのポイントです。
- マスターパスワードを2要素認証で保護
- 詐欺サイトにパスワードを入力しない
- 1Passwordリンクを第三者と共有しない
- 1Passwordのアクティビティを確認する
- 1Passwordセキュリティ侵害を通知する
以下順に説明していきます。
1. マスターパスワードを2要素認証で保護
解読可能な暗号化をされていようが、第三者がマスターパスワードを知っていたら意味がありません。
たとえ「機械に任せて、120文字の超大作なパスワードを設定」していようと、ハッカーからしてみればクリップボードにコピーしたパスワードを搾取してしまえば、「はい、おつかれ~」一発でアウトですよ?
そのため「パスワードなんて、既に搾取されているでしょ?」これくらいの意識は持ち、必ず「2要素認証を設定すること」当サイトは強く推奨します。
2. 詐欺サイトにパスワードを入力しない
パスワード登録していない、または登録とは異なるサイトへ無理やりパスワード入力を行わないことです。
下図の通り、1Passwordは警告メッセージを表示します。
ここで思いとどまり、[キャンセル]を押して前画面へ戻るようにしてください。
3. 1Passwordリンクを第三者と共有しない
1Passwordは、2つのリンクを発行する機能があります。
- 第三者がアクセスできない「プライベートリンク」
- 共有期間、対象者を設定できる「共有」
パスワード管理アプリとしては非常に珍しい、使い勝手のよい機能です。
しかし他者と共有できること、すなわち「情報漏えいリスクが高い」ということを示します。
個人であれば、パスワードを他人と共有するような使い方は通常しませんので、不用意にリンク機能は使わないようにしましょう。
4. 1Passwordのアクティビティ確認
1Passwordを使用している「場所、時間、デバイス」の確認です。
ブラウザから1Passwordにログインし、マイプロフィールからチェックできますよ。
また1Passwordは、通常と異なるサインインがあると登録したメールアドレス宛へアクティビティ情報を通知します。
不正アクセスの兆しがないか、メールの通知はチェックするようにしましょう。
5. 1Passwordセキュリティ侵害の通知
Watchtower(日本語だと「監視塔」)機能をオンにすることです。
どのような機能かというと、例えば、あなたがパスワードとセットで登録したサイトがセキュリティインシデントを起こした場合、Watchtowerが通知してくれるんですね。
初期値はオフになっているので、オンにすることを推奨します。
そして万が一にもWtchtowerから通知があった場合は、対象サイトのログインパスワード変更、またはアカウント停止も検討してみましょう。
まとめ
1Passwordの安全性について、情報セキュリティ観点で評価してみました。
所在がカナダなので、地理的な要因リスクは否めません。しかしながら、情報漏えいや脆弱性リスクが極小のため、安全なサービスであると評価しています。
また安全性の高いツールでも、使い方次第では個人情報をリスクにさらしてしまうかもしれませんので、本記事の安全な使い方を参考にしてみてください。
1Password 3年版セール情報
1Passwordは、「単なるパスワード管理ツール」だけの使い方は勿体ない!
