セキュリティ

パスワード管理を見直す

更新日:

Photo by Thomas Quaritsch on Unsplash

去年当方のツイッターアカウントが乗っ取られた。ツイッターのアカウント自体は乗っ取られても大したものじゃないから心配はしなかったが、他の重要なサービスに使っていたパスワードと同じものを使いまわしていたことに気づき、これはまずい思った次第。

そこで本腰を入れてパスワード管理をしようと試みた結果のまとめ。パスワードの管理には現在様々な方法が存在する。本稿ではそれらの特徴とパスワード管理の注意点をご紹介。

パスワード管理の基本


・パスワードの使い回しをしない

パスワードを使いまわしてしまうと一つのサービスがパスワード漏洩を起こすと一気に被害が拡大してしまう可能性がある。

・パスワードをプレーンテキスト(平文)で保存しない

PC内に暗号化していないパスワードを保存しておくと、オフラインでパスワードを抜かれてしまう危険性があるだけでなくウィルスに感染したときもパスワードを盗まれてしまう可能性がある。

・パスワードを紙にメモしない

紙にメモするというのは他人に簡単に盗まれてしまうというのもあるが、なくしやすいという問題もある。

・簡単に推測できるパスワードを使わない

ユーザ名や本名、誕生日、電話番号など、簡単に推測でき個人情報につながるパスワードは使用しない。また password や簡単な単語などはクラック以前の問題だ。

・キーボード配列を利用したパスワードを使わない

12345、QWERTY、QAZ なども最も使われているパスワードたちであり簡単に推測できてしまう。

この他にもパスワードの復元に使われる質問にも注意!覚えやすい全く関係ない答えを用意しよう。


外出先での注意点

ノートPCなどを職場や勉強会、大学に持ち運ぶ際の注意点は離席時には必ずPCの電源を切るかログイン画面に戻す癖をつけるべきだ。どこの誰が勝手にIDやパスワードを覗き見ようとするかわかったものではなく、ネットワーク経由でシステムにウィルスを送り込まれて流出するよりもやられる可能性とやられた際の被害が大きい。後述するがブラウザに保存されているパスワードなどは簡単に覗き見ることができてしまう。できればディスク全体を暗号化しておくとライブ USB メモリ Linux などでファイルを容易にコピーされる心配がなくなり更にセキュリティが高まるだろう。


ブラウザのパスワードマネージャ

Chrome のパスワードマネージャに保存されたパスワードは簡単に平文で確認できる。また暗号化されている状態でも Chrome は DPAPI (Data Protection API) を利用し Windows のログインパスワードに依存していることから簡単に復号が可能。

Firefox も通常の状態では丸裸も同然だ。IDとパスワードの一覧を簡単に入手する方法ツールも出回っている。しかしマスターパスワードを設定することでこれらのデータは単純ではあるが暗号化され、覗くことができなくなる。このマスターパスワード自体もブルートフォースアタックで簡単に解けてしまうという問題もあるが、 Chrome よりは安全性は高いだろう。


クラウド型パスワード管理

一番お手軽にできるのはクラウド上で監理されているパスワードマネージャを使うことだ。強固な暗号化を施したクラウドサーバにすべてのパスワードを保管し、1つのマスターパスワードでサーバからパスワードを引き出し管理するというものだ。

一度サイトのIDとパスワードを登録しておくと自動入力してくれる機能やパスワードを自動生成する機能などもある。

注意点としてはクラウドで監理されているということでパスワードが保存されているサーバがクラックされたらパスワードが流出するということも覚悟する必要がある。また、フィッシングサイトのような中間者攻撃にあう可能性もあるということを知って置く必要がある。

しかし、パスワードを使いまわしている状態よりも遥かに安全だろう。流出した場合も迅速な対応で被害を防ぐしか無いが、今までこういったサービスで大きな被害が起きたというのは記憶にない。

LastPass、 DashLane、1Password といったサービスが有名。基本無料でどれも似通った使い勝手だが有料サービスでいろいろ違いがあるので興味がある人は調べてほしい。

LastPass

オンラインパスワードマネージャーの最大手。ほとんどのプラットフォーム、iPhone Android などの携帯デバイス、ブラウザに対応しているため非常に使いやすい。

実は3年前に LastPass のデータベースサーバはクラックされており、ユーザ名やハッシュ、パスワードのヒントなどが盗まれた。また、LastPass の公式サイトを装ったサイトをクラッカーが立ち上げ、そこでマスターキーが盗まれるというLostPass 事件などもあった(いわゆるマン・イン・ザ・ミドル・アタック)。

しかし、LastPass から流出したデータには強力な暗号化が施されてあったため、攻撃者は復号化できなかった。このため被害はゼロだった。逆にクラウド管理の安全性を証明する結果となった。

後者も、公式の拡張機能やアプリを使えば十分に防げた事件だろう。


オフライン型パスワード管理

有名なソフトでは KeePass、RoboForm、Password Safeなどが挙げられる。パスワードの一元管理をオフラインで行うソフトウェアだ。クラウド型と比べて登録とブラウザとの連携などにひと手間かかる上、対応していないプラットフォームがあるソフトが多いことがデメリット。この欠点に目をつぶればかなりセキュリティの高いパスワード管理法と言えるだろう。

KeePass


2段階認証(2FA)のすゝめ

二段階認証とはパスワードだけでなく、ショートメールや短時間で更新されるコードを使ってセキュリティを高める仕組み。Google アカウント、Yahoo、Facebook、Twitter など様々なサービスで利用できる。この仕組の裏をかいた更に巧妙なフィッシングサイトも存在したようだが、かなりの技術を要するので出くわすことはほとんどないだろう。

ハード型セキュリティキー

(RSA トークン)ハードウェアトークンにあるボタンを押すだけでパスワードの生成と自動入力をしてくれるスグレモノだ。YubiKey、TrueKey (Intel)といったものがこれにあたる。

Google が全ての従業員に YubiKey を配ったところ、 フィッシングアタックなどに引っかかることがなくなったという。これを大層気に入った Google は自社で Titan Security Key という商品を開発し発売。

このアナログのセキュリティキーを使った2段階認証は最も安全なアカウント管理方法だと言われているが、2年前の DEF CON に参加したハッカーによりこれを迂回できる可能性が指摘された。完璧なセキュリティなどないのだ。

https://motherboard.vice.com/en_us/article/8xazek/hackers-show-proof-of-concepts-to-beat-hardware-based-2fa


当方の選択

ここまでいろいろと紹介してきたわけだが、結局当方は LastPass と 2段階認証 をなるべく行っていくという形で落ち着いた。 LastPass サーバがクラックされてしまえばおしまいだが、LastPass の運営自体が非常に優秀で対応が早く、またサーバ自体に強力な暗号化が施されているなど、安心材料が多かったからというのもある。なによりも便利すぎる。

仕事に関わるパスワードの管理ならばオフラインで管理するのもやりすぎではないが、個人のパスワード管理にしては上等な部類に入るのではないか。パスワードを使いまわしていた頃よりは遥かに安全であるとだけは言える。

ー 終 ー

-セキュリティ
-, , ,

Copyright© SlackNote , 2019 All Rights Reserved Powered by STINGER.