ネットで個人情報が盗まれたら大変!
保護の基本は2段階認証とパスワード管理ソフトというわけで、今回はガジェット徹底比較でおすすめをバシッと言い切る信頼の米国メディア「Wirecutter(from The New York Times)」 が数十種類を審査、4つをテストして、機能と互換性、堅牢性、使いやすさの観点から選んだベストを紹介します。
イチ押し:1Password
1Passwordアプリは使いやすさ抜群。読みやすい文章でセキュリティのおすすめが表示され、使う人の身に立ったUIがビギナー好みです。高度な機能とセキュリティを備えており、ギークも大満足できそう! 使用料は月額2.99ドル(約315円)。
1Passwordは洗練度抜群で簡単に使いこなせるアプリです。 Windows、Mac、Chromebook、iPhone、iPad、Android、主要ブラウザに対応。弱いパスワード、使用済みパスワード、破られたパスワードを検出して解決策を懇切丁寧に教えてくれるWatchtowerと呼ばれる機能がついていて、暗号化技術と万全のセキュリティで大切なパスワードを守ってくれます。いちいちログインでマスターパスワードを入力したり、指紋認証、顔認証するのが面倒なら、頻度は設定で簡単に変更できますよ。
Bitwardenの無料版は基本を手堅く抑えたアプリです。1Passwordの人気機能(パスワード診断、侵入通知、1GBの暗号化ストレージ)はありません。全体的に洗練度もイマイチ、アプリ内のガイダンスもないけど、なんてたって無料ですから。コストゼロで、パスワード管理ソフトに求めることは全部できますし、何台でも何件でも好きなだけパスワードを同期できます。2段階認証はもちろんあるし、ログイン情報を分ければ2人で共用も可能。対応OSは1Passwordと一緒で、あらゆるパソコン、携帯、タブレット、ブラウザで利用できます。あとで有料版に変えたくなったら、有料版Bitwarden Premiumには年間10ドルでアップグレードできますし、1Passwordに登録パスワードをエクスポートすることも可能です。
いずれも大事なことは強いマスターパスワードでデータを守ることですよね。そのコツについては後ほどくわしく。
パスワード管理ソフトのガチ勢が選びました
本稿は2016年から随時更新中。今回のガイド役は次の2人が担当しました。
Andrew Cunninghamは、AnandTech、Ars Technicaで6年勤続後、2017年からWirecutterでPC、携帯、OS、アプリ、ガジェットのテスト、レビュー、執筆を続けています。パソコンの組み立てとアップグレード、修理にかけては20年の実績があり、うち5年間はIT部門でノートPCとデスクトップの購買・修理を担当しました。使う人のニーズに合わせたハードとソフト探しのお手伝いを得意とします。
Thorin Klosowskiはプライバシーとセキュリティのソフトウェアをメインに追いかけているテックライターの10年選手です。テストしたパスワード管理ソフトは数知れず。
なぜパスワード管理ソフトは必要なの?
パスワードは必要なものだけど、覚えておくのはタイヘンです。パスワード管理ソフトは、オンライン認証で使う大量のパスワードを手間要らずで整理してセキュリティを高めてくれるツール。オンラインの安全対策としては、二段階認証と並んで一番重要な部類に入ります。OSやブラウザを最新の状態に保つ面でも役立ちます。
弱くて破られやすいパスワードを使ったり、いろんなサイトで同じパスワードを使ったり、サイトがハックされてアカウント情報がリークしたりすると、自分のアカウントや情報が乗っ取られてアクセスできなくなる恐れも。事実、使い回しのパスワードの場合、もうかなりの確率で外部のデータベースに野ざらしになっていると思ったほうがいいです。リークの被害に遭っていないか点検できるサイトもあります。メールアドレスはここ、パスワードはここ。
パスワード管理ソフトを使うと、アカウント作成やパスワード変更のときに強いパスワードを生成したうえで、クレジットカード番号や住所、銀行口座などのデータと一緒にひとつの場所に保管し、マスターパスワードでひとまとめに管理できます。マスターパスワードさえ覚えておけば、ほかのは全部ソフト側が記憶していてくれるので、スマホやPCでサイトにログインするときにもユーザー名とパスワードが自動で埋まって便利この上なしです。
パスワードを保存して自動入力する機能はもうブラウザに装備されていて、Chrome、Safariなどでは、必要とあれば強力なパスワードも生成できます。弱いパスワードをあちこちで使い回すよりは、GoogleのSmart LockやAppleの Keychainを使うほうが百倍安心ですが、さらに安心を高めたのがパスワード管理ソフトです。上質なものともなると、弱いパスワードや使い回しのパスワードで警告が出て、利用中のサービスがハッキングされたときにもパスワード変更案内が出て、身近な家族や友だち同士でパスワードなどの情報を共有できます。また、iOSやAndroidの端末で手軽にパスワードが使えるモバイルアプリがあるほか、PC版アプリではブラウザ以外のアプリでも利用でき、ソフトウェアのプロダクトキーなんかの情報も保存できます。
選定基準
パスワード作成・保存の基本機能はどのパスワード管理ソフトも共通ですが、及第点のものと最上位のものを見分ける作業は次の基準をもとに行ないました。
・パスワード保護が万全:デジタル認証情報のすべてを預けるわけですから、個人情報をセキュアに保管することが優れたパスワード管理ソフトの条件です。PC上でも、パスワード管理ソフト内でも、両者のデータ転送においても、大切な情報を強力な暗号化技術でしっかり守る必要があります。テスト対象ソフトはすべて第三者のセキュリティ監査を受けていることを確認しました。
・容量無制限にパスワードを保存できる:有料版はパスワードやログを無制限に保存でき、ストレージの容量制限を気にすることなく使えることを条件としました。
・端末間で同期ができ、使える台数に制限がない:毎日使う端末は1台とは限りませんよね。家のパソコン、職場のパソコン、携帯、ノートなどもあるので、クラウドでデータの同期をとって、台数を気にすることなく、どこからでもパスワードを引き出せることも上質なパスワード管理ソフトの条件です。
・互換性が高い: 自分や家族のハードとソフトの種類を問わず、すべてで動作することも欠かせない条件です。ここでは次の3つをチェックしました。
- デスクトップとノートPCの互換性: Windows版とmacOS版ソフトがあって、それで情報の閲覧、追加、編集ができること。Linuxの互換性も調べましたが、こちらは必須にはしませんでした。ChromeOSへのサポートは、通常、Chromeの拡張機能でカバーされています。
- ウェブブラウザの互換性:テストはChrome、Firefox、Safari(入稿時点の北米地域の3大ブラウザ)の拡張機能があって、パスワードやフォームの自動入力、アカウント変更や新規作成時のパスワードの作成と保存ができるものに絞りました。IEとEdge、Operaの互換性も確認しましたが、こちらは必須ではありません。
- iOSとAndroidの互換性: 使いやすくて、ブラウザのウィンドウやアプリでパスワードを自動入力できるiOSとAndroid、両方のアプリがあること。全設定を済ませて、動作に必要な権限を付与する手順のウォークスルーも必要です。
・設定も利用も簡単:ビギナーはもちろん、ブラウザのパスワード自動入力利用者もスムーズに移行できて、アプリやブラウザに必須の拡張機能の設定を全部簡単に終えられなければなりません。一度設定してしまえば、あとは必要なときにすぐ(面倒抜きに)使えることも、優れたパスワード管理ソフトの条件です。
・セキュリティの問題解決に役立つ:データ保存後は弱いパスワード、使い回しのパスワード、破られたパスワードがあればこれを検出し、明確でわかりやすいパスワード変更手順が表示されなければなりません。
・生体認証ログインに対応:使用中の携帯やタブレット、ノートPCに指紋用センサーや顔認識用カメラがある場合、パスワードやPINではなくそちらの生体認証でロック解除できることも条件。
・料金:有料版は1人年間20~60ドルが通常の相場です。無料版でも十分ですけど、1Passwordのような最上位のものは年間40ドル近くの利用料がかかります。ファミリープランはたとえば月額1~2ドルの追加料金で4~5人までの利用が可能になるというものです。なお、パスワード管理ソフトは月額利用料でPRされますが、請求は年間利用料で行なわれるのが一般的です。
・パスワード共有:みんなでアクセスを共有するアカウントについては、信頼できる仲間とログイン情報を安全かつ簡単に共有できなければなりません。家の生活費を支払うサイトや、中小企業で社員が共有するメールやSNSのアカウントなどがこれに相当します。有料版ではよくある機能ですが、無料版でこれが使えることは稀です。
・付加機能:優れたパスワード管理ソフトは、肝心要のパスワード管理以外の機能も豊富。2段階認証コードの生成ができたり、セキュアなオンラインストレージでパスワードや部外秘のファイルをスキャンできたり、パスワード以外の情報(連絡先やクレジットカード番号など)も自動入力できたりします。
テスト方法
まず最初にPCMag、CNETなどのサイトを検索して検討を重ね、無料版と有料版合わせて約40の候補に絞りました。必須のOSとブラウザすべてに対応しているものは数えるほどしかなくて、使える端末の台数、保存できるパスワードの数が無制限という基準で選外になった無料版もかなりあります。こうして一次選考を通過したパスワード管理ソフトは計8種で、上記の全基準をクリアしたのは4種。1Password、LastPass、Dashlane、Bitwardenだけでした。
選定後はそれぞれWindows、MacのパソコンとiPhone、iPad、Androidスマホにインストールして、最低1週間使って動作を確かめました。LastPassとBitwardenについては、無料版と有料版の違いもチェック。Tom’s GuideやWiredといったサイトのレビューも参考にしました。
イチ押し:1Password
1Passwordは、互換性、使いやすさ、機能、料金のバランスが、今回テストした有料版では最高でした。アプリの洗練度が高く、どんなPC、タブレット、スマホ、ブラウザでも使えます。弱いパスワード、使い回しのパスワード、漏洩したパスワードの特定と変更に役立つWatchtower機能もあって、 明快でわかりやすい言葉で解決策を教え、暗号化技術と万全のセキュリティで大切なパスワードを守ってくれます。デフォルトのセキュリティ設定ではすぐロックされますので、いちいち解除するのが面倒と感じる人もいそうですが、これは設定で簡単に変更できます。利用料は個人が年間36ドル、ファミリープラン(2~5人)が60ドルなので、並みの有料版よりは割高ですね。なお、選挙の候補者と支援活動スタッフ、報道関係の人には無償プランも用意されています。
大多数の人が使うOSとブラウザは全部対応していて、Windows、macOS、iOS、Androidのいずでのアプリでも保管庫内の全アイテムの閲覧と編集が可能。以上のOSに搭載になってる基本的なパスワード保存機能はiOSとAndroidのアプリがあればもう使う必要はありません(安全対策の閲覧と対処にはPC版アプリか、my.1password.comのWebアプリのUIの使用が必要)。Windows版やMac版アプリも、パスワード生成と検索以外はWebアプリが必要なBitwardenより1Passwordのほうがずっと優れている印象です。
1Passwordは幅広いブラウザに対応していますが、ややこしいところも若干あって、Chrome、Firefox、Safari、Opera、Microsoft Edgeで1Passwordのブラウザ拡張機能は使えるのですが、使うためにはパソコンに1Password 7アプリのインストールが必要です(脚注1)。ChromeやChrome OS、Firefox、Operaでは1Password Xをダウンロードしても7と同じように使えますが、Xの場合、PC版アプリのインストールは必要ないんですね。ややこしいですよね。
でもそれを除けば、UIはわかりやすくて、パスワード管理ソフトを使ったことがない人でもすんなり頭に入る感じで、保存したパスワードや情報の閲覧と変更もすぐできます。デフォルトの「金庫」は、ログイン情報、クレジットカード番号、自動入力フォーム用のデータの保存場所で、これはアルファベット順やタグで整理できますが、それで間に合わないときには、保管庫をいくらでも作成して情報を整理できますよ(個人用と仕事用のアカウントのログイン情報を別々に保管したり)。これが特に威力を発揮するのは、1Passwordのファミリーアカウントやビジネスアカウントですね。ある保管庫はほかの1Passwordユーザーと共用で、別の保管庫は非公開といった使い分けができます。
1PasswordのWatchtower機能は、弱いパスワード、使い回しのパスワード、古いパスワード、HTTPSの保護がかかっていないWebサイトのパスワードを検出したり、侵入被害に遭ったサイトのパスワード、有効期限間近なパスワード、二段階認証があるのに使っていないアカウントがあればそれも検出して解決方法をズバリ教えてくれます(脚注2)。Watchtowerという言葉は、アプリ内の専用コーナーの名前としても使われるし、1Passwordのログイン保護機能全般をまとめてこう呼ぶこともあります。
1Passwordはバージョンを問わず、顔認証や指紋認証のログインに対応しているので、使うパソコン、スマホ、タブレットに搭載された認証の種類によっては顔や指紋認証でログインも可能です。これは特にiOSとAndroidのアプリでおすすめ。長ったらしいマスターパスワードを1日に何べんも入力するのは手間だし時間のロスになりますからね。いずれのアプリでも、iOSやAndroidのOSに付属するパスワード自動入力機能の代わりになり、アプリ内のみならずWebサイト上でも使えます。
1Password利用料は、個人が年間36ドル、ファミリーは年間60ドル(2人でも5人でも一律料金)。最終選考に残ったなかでは競合より割高です。たとえばLastPass Premiumは個人は同一料金ですけど、ファミリーは6人まで使えて年間48ドルぽっちです。Bitwardenなんて無料プランで2人で共有できちゃいますからね。もっとも3人以上になると年間12ドルのファミリープランに加入が必要になりますけどね。これはプレミアムプランとは別物で、プレミアムには1人につき年間10ドルの利用料がかかります。一番の違いはパスワード強度の診断とモニタリングが加わること。
1Passwordのファミリープランに入って設定を済ませると、パスワードなどの情報保管先が私用金庫ではなく共用金庫になって、プラン加入のメンバー全員がアクセスできるようになります。「ファミリー管理者」には、ファミリー用アカウント作成で使った1Passwordアカウントの持ち主と、「ファミリー管理者」権限を付与されたメンバーが含まれ、家族がマスターパスワードやシークレットキーを忘れたときには家族に代わってアカウント回復を代行できるので、キッズやITが苦手な人がいるファミリーも安心です。 1Passwordにはプライバシー重視の方のための機能もあります。利用者のデータは1Passwordのサーバーにデフォルトでバックアップ保存されるほか、転送中のデータはエンドツーエンドの256ビットAES暗号化技術でしっかり保護(セキュリティモデルの詳細はこちら)。万人におすすめできるオプションですが、もしサーバーに上げたくないなら、端末側に保管庫を作って1Passwordと同じ暗号化技術でローカルに保存して、完全に切り離すことも可能です。
ローカルの保管庫を使って、1Passwordのサブスクリプションの利用料を回避したいなら、macOS、Windowsマシン1台で使えるスタンドアロンライセンスを使うという手もあります。これは1Passwordアプリをダウンロードして開いて、メニューの「1Passwordを購入」をクリックするとウィンドウが立ち上がって、「ライセンスが必要ですか?」というちいさなリンクをクリックすることで入手できますよ。WindowsやMac用のスタンドアロンの1Passwordは50ドルします。なお、Windows用のライセンスでMac版は利用できず、その逆もできません。FirefoxやChromeではもっと強力な1Password Xの拡張機能は利用できませんし、仮に1Passwordの次期バージョンが出た場合にはまたライセンスを新たに買い直さなければなりません(サブスクリプション利用の場合は自動的にアップグレードされます)。
その他の便利な機能には、機密ファイル(個人情報が記載された資料のスキャン画像など)を保存できる1GBのセキュアなオンラインストレージや、海外旅行中や渡航の際にデータが失われるのが心配なら、「トラベルモード」で端末から保管庫を選んで一時的に削除できるものなどあります。また、1Passwordは、1回限りの使い捨てのクレジットカードを生成するサービス「Privacy」の統合も可能です。セキュリティに自信のないサイトでオンラインショッピングするときや、購読の自動更新を希望しないサブスクリプションサービスをお試し利用するときには覚えておくと便利です。
知りたいことを全部教えてくれるパスワード管理ソフトなんてありませんが、1Passwordはかなりいい線いってて、ヘルプの記事がとても充実している(通常は大きなスクリーンショットやビデオチュートリアル付き) ので、 パスワード管理ソフトが初めての人でも大丈夫。Bitwardenの無料版などより覚えやすいです(Bitwardenは設定手順のウォークスルーも、目でわかるハウツーガイドもありません)。
買うのをやめるほどじゃないけど気になるところ
1Passwordはアプリもブラウザ拡張機能も、パソコンが10分間アイドル状態になるとアカウントにロックがかかるデフォルト設定になっています。指紋や顔認識できる端末の場合は、PC版アプリもモバイル版アプリもマスターパスワードを入力しなくても指紋や顔認識でロック解除できるのであんまり不便は感じないのですが、ブラウザ拡張機能は毎回マスターパスワードの入力が要るのでこのデフォルト設定はちょっと嫌。たちまちイラっとくるようになります。今回試したほかのパスワード管理ソフトの間ではブラウザを閉じたときに拡張機能にロックがかかる仕様が標準的でした。特に時間制限は設けていません。1Passwordも設定でロックがかかる間隔は10分より長くするのを推奨します。1時間でも2時間でも間隔は好きに決められます。設定できるタイムリミットに制限はありません。パスワード管理ソフトに一定間隔でロックがかかるのはセキュリティ上は正しいことだけど、行き過ぎると邪魔に感じるので難しいところですよね。
1Passwordのファミリーアカウントから家族のアカウントは復元できますが、それ以外の個人アカウントは復元できなくて、万一の緊急時にも本人以外アクセスすることはできません。これを行なうには、万一に備えてアカウントの全詳細を記載したEmergency Kitをあらかじめ印刷して保管しておかなけばダメ。つまりだれかの1Passwordアカウントに入るには、「ファミリー管理者」権限を有するか、当人によって「Emergency Kit」が耐熱金庫に保管されていることを祈る以外ないことになります。
また、1Passwordは30日の無料トライアルがあるだけで、無料版がないのも玉に瑕。お金の元がとれるほど多機能ではありますが、BitwardenやLastPassを見ると、機能を上手に絞れば無料版は十分提供可能なことがわかります。
無料のイチ押し:Bitwarden
「パスワード管理ソフトにお金をかけるのはちょっと…」、「1Passwordほど多機能じゃなくていい」、「オンラインにデータを上げずにパスワード管理ソフトをセルフホストしたい」―そんなあなたにはBitwardenがおすすめ。1Passwordのパスワード診断、セキュリティキー、1GBの暗号化されたストレージなどの機能はBitwarden無料版では使えませんが、パスワード管理ソフトの主要機能はあますところなくカバーしており、何台でも制限なく同期でき、何件でも制限なくパスワードの保存が可能です。無料アカウントなのにほかの1名とパスワードコレクションの共有までできちゃう。互換性の幅は1Password並みに広くて、ほぼすべてのデバイスで使えます。また、セキュリティプロトコルも1Passwordのものに似ているので、Bitwardenのサーバーが侵入されてもパスワードは安全に守られます。1Passwordほど頻繁ではありませんが、隔年でセキュリティ監査も受けています。1Passwordみたいなビギナー向けの基本ガイドやカラフルで読みやすい資料はありません。
対応するOSとブラウザは1Passwordと同じです。ダウンロードはWindow、macOS、iOS、Androidでどうぞ。ブラウザ拡張機能を入れておけばどのブラウザでもユーザー名とパスワードの自動入力ができて便利ですけど、こちらはChrome、Firefox、Safari、Operaで導入できます。1Passwordの拡張機能と違って、Bitwardenの拡張機能はPC版アプリを入れなくても使えるのが特長ですね。
機能の面では、Bitwardenの拡張機能とPC版アプリでパスワード管理ソフトに求める最低限のタスクはこなせます。パスワードの保存と生成も可能。1Passwordのアプリほど洗練度は高くないし、ログイン時に弱いパスワードの警告も自動的に出なくて(ログイン画面を開く際、拡張機能のアイコンをクリックして確認はできる)、Bitwardenのプレミアムパスワード点検機能も使えない(Webアプリの利用が必須)という制限はありますけどね。また、無料アカウントではパスワード関連の報告は取得できなくて、唯一取得できるのがデータ漏えい報告で、これはメールアドレスを「Have I Been Pwned?」の検索にかけて不正利用がないか照合し、結果を教えてくれるというものです。アカウントの不正侵入、使い回しのパスワード、パスワード漏えい、安全性の低いWebサイトへのアクセスがないかスキャンする機能は有料になりますので、Bitwardenのサイトに行って、年間10ドルの有料アカウントにアっプグレードしないと見れません。1Passwordは監査報告とおすすめの対策はサイトに行かなくてもアプリ全体で確認できるし、弱いパスワードでログインすると拡張機能からアラートも表示されるので、まあ、その辺が有償版との違いですよね。
Bitwardenの無料アカウントは、出費ゼロでパスワード管理ソフトに求める機能がだいたいこなせるのが強み。1Passwordみたいな期間限定無料トライアルじゃないし、ほかの無料パスワード管理ソフトみたいな使用端末の台数や保存できるパスワードの本数制限もありません。プレミアムアカウントの広告は表示されますが、商用目的で個人情報の販売や共有は一切していないとBitwardenのプライバシーポリシーに明記されています(匿名化された使用データは共有されますが、これはあまり心配ありません)。
有料版にあって無料版にない主要機能としては、パスワード監査、優先技術サポート、1GBのセキュアなストレージといったものがあります。興味があるなら、年間10ドルで全部手に入るので安いものです。「パスワード管理ソフトは使ったことないけど、Bitwardenで試してみたい」という人は最初の1年だけでも10ドル払ってみる価値は十分ありそうです。その1年で今ある脆弱なパスワードを強化できますからね。無料のパスワード管理ソフトは共有できないものが多いのですが、Bitwardenはパスワードコレクション(1Passwordの保管庫みたいなフォルダ)をほかのBitwardenユーザー1名と無料で共有できます(それ以上の人数は有料)。パートナーやルームメイトと特定のログイン情報を共有したいときにも大助かりです。
Bitwardenは今回テストしたパスワード管理ソフトのなかで唯一ファミリープランと有料機能が分かれていて、料金体系が少しややこしいです。Bitwarden無料版とBitwardenプレミアム(有料版)のアカウントはどちらもファミリープランに加入可能。Bitwarden有料版はもっと多機能で、Bitwardenファミリープランはもっと共有人数が多い、という違いがあり、「3人以上で共有したいし、多機能も欲しい」場合は両方のアップグレードが必要です。アカウント5人分を有料に切り替えてファミリープランに加入する料金を合わせると、ほぼ同じ料金で並ぶので1Passwordファミリープランのほうが便利かもしれません。
無料版も有料版もBitwardenはパスワード管理ソフト初挑戦の人にぴったり。ヘルプも年々充実し、動画の使い方ガイドもできました。1Passwordのほうがビギナー対応は万全で使い方もすぐわかりますけど、遜色ないチョイスです。
強いマスターパスワードを作るコツ
パスワード管理ソフトを使うメリットは、全部覚えなくてもワンパスワード覚えるだけで全アカウントにアクセスできることですが、そのワンパスワード(マスターパスワード)を忘れたらしゃれになりません。ここは絶対記憶に残る最強のものを用意したいですよね。
1Passwordはマスターパスワード生成のアドバイスが最高で、案外ランダムな大文字と小文字、数字、記号の組み合わせは推奨していないんですね。それよりは長くてもいいから覚えやすいパスワードにすべきであって、たとえば何の脈絡もない単語や覚えやすい文章を横線やピリオドでつなげて並べるのがいいんだそうな。1Passwordのパスワードジェネレータを使えば、使用ソフトの種類に関わりなく、強いパスワード作りが手軽にできますよ。
自分はゼッタイ忘れなくて、他人に絶対バレないパスワード。これなら破られる心配はありません。マスターパスワードは、そんな丸暗記できるものにするのがコツ。ただ、記憶した本人が消えちゃう万一の場合に備えて、紙に書いて安全な場所に保管しておくことも大事な備えです。これはデジタルに保管すると危険極まりなく、特にDropbox、Google Drive、iCloud、OneDriveのようなクラウドに保存するとハッカーに窃取される恐れが生じ、パスワード管理ソフトを使う意味がなくなってしまいます。そのため1PasswordではわざわざEmergency Kidを用意して、アカウント情報、シークレットキー、パスワードを記入して刷り出しておけるようにしているくらいです。この防災キットにはQRコードもついていて、これをカメラで読み込めば新規のスマホやタブレット、パソコンで1Passwordを一発で設定できるようになっています。
もちろんアカウント保護はマスターパスワードだけじゃ万全とは言えません。1Password、LastPassなどパスワード管理ソフトの多くは二段階認証付きですので、それもぜひ使いたいですよね。Authyみたいなアプリなら常時変化する6桁の認証コードがスマホ上で生成されますので、新しい端末上のアカウントにログインするときにはこれとマスターパスワードの両方を使って入るかたちになります。記憶(マスターパスワード)と所有端末(スマホ)の両方が要る二段階認証というわけで、ハッカーや悪意の誰かにパスワードが知られたぐらいではビクともしなくて、大切な情報への不正アクセスはずっと困難になります。
ブラウザにパスワード記憶させれば十分なんじゃないの?
ブラウザにはだいたいパスワード保存機能がついています。ChromeやFirefox 、Safariなどではパスワード新規作成機能もあって、まるでパスワード管理ソフトのよう。使い回しや破られたパスワードの警告までしてくれます。
せっかくあるんだもの。使うほうが何もしないよりずっとマシ。なかには端末間の同期、暗号化、パスワード情報の二段階認証、フォームの自動入力ができるブラウザもあります。
ただ専用のパスワード管理ソフトを使うメリットは確実にあります。たとえば、複数のOSとブラウザを希望の組み合わせで使えますし(デスクトップはChrome、iPhoneはSafariなど)、ブラウザの種類を問わず強いパスワードを作成できるのもそのひとつ。上質なパスワード管理ソフトは家族や友だちと簡単にパスワードを共有できるので、みんなで同じサイトにログインしたいときにも便利です。本稿でおすすめするソフトは、拡張機能のほかにアプリも出していて、パスワード以外のデータ(プロダクトキー、住所、銀行口座、クレジットカード番号など)も保存できます(これができるブラウザもありますが、できないブラウザもあります)。
ブラウザのパスワード保存機能をずっと使っているなら、1PasswordもBitwardenもChromeなどのブラウザから保存済みパスワードをインポートできるので、ゼロから保存する手間もありません。
パスワード管理ソフトに全パスワード預けるほうが心配なんだけど
強いマスターパスワードで全パスワードを保護すると、便利な反面、パスワード管理ソフトのサーバー本体が侵入されてデータが盗まれた場合どうなるのか心配ですよね。
その面については1PasswordもBitwardenも自社のセキュリティモデル、不正侵入発生時のデータ保護体制を公開して、透明性の確保に努めています。両社とも256ビット長の暗号鍵を使用する強力なAES暗号化技術を使用しており、スマホやPCに保存したローカルに保存したデータも、PasswordやBitwardenのサーバーのデータも、両者の転送中のデータも、マスターパスワードがないと読めないようになっています。さらに、「ゼロナレッジ」と呼ばれるセキュリティモデルを採用しているそうで、社内で働くスタッフもマスターパスワードは見れません。データにアクセスできたとしても、だれも暗号化を解除して中身は見れないしくみになっているんですね。1Password は定期的に外部のセキュリティ監査を受け、システムが安全であること、最善のセキュリティ慣行に従っていることを確認しています(脚注3)。Bitwardenも隔年でセキュリティ監査は受けており、ちょうど今年の7月に完了したばかりです。また、1PasswordもBitwardenもバグ通報に謝礼を支払うプログラムを通してセキュリティ研究員からの情報収集にも努めています。
どこかのサーバーに大切な個人情報を保存するときには、どこかでエイヤッと信じてしまうしかないこともありますよね。1PasswordとBitwardenはセキュリティ、プライバシー、使いやすさの総合点が高いのはもちろんのこと、一般向けの説明どおりシステムがセキュアです。そこは信頼できます。どうしても不安なら、端末側にローカルでデータを保存するパスワード管理ソフトを使ってみるのもひとつの対処。自分で管理できるサーバーに同期をとる対処もあります。もちろん前者はパスワード 管理ソフトの手軽さが台無しですし、後者は面倒すぎてだれもやりたがりません。どうしてもというなら、Bitwardenがベストチョイス。
こちらのパスワード管理ソフトも注目です
LastPassは無料版も有料版も万人が満足できる手堅いオプションです。本ガイドで無料版のイチ押しに選ばれた実績もあるんですが、運営会社のLogMeInが2019年に民間投資会社2社に買収されたことでやや先行き不透明感が生じています。BitwardenでLastPassの機能は全部使えるし、ファミリープランと有料プランは割安感もあり、しかもオープンソース。そんなわけで今回はBitwardenの勝ちと判断しました。LastPassならではの強みもあって、たとえば緊急時のアクセスでは自分の身に万一のことがあって、だれかほかの人がアカウントにアクセスしなければならなくなったとき助かる機能と言えます。ただ、初めてパスワード管理ソフトを設定するビギナーには1Passwordがおすすめです(もっとアプリの水準が高くて、Watchtower機能で実践的な安全対策が表示されるから)。
Dashlane有料版は洗練度が1Password並みに高く、初期設定のプロセスに関しては、1Passwordよりビギナー向けに配慮されている充実度。ブラウザからのパスワードのインポートもステップごとに案内してくれるし、 インポート対象外のブラウザやサイトは手動で選択できます。アプリは使いやすく、セキュリティの問題があればアラートが流れて解決策を教えてくれます。無料版もあるんですが、そちらは1台しか使えなくて、パスワードも50件までしか保存できません(今どきの人はやや足りない)。Dashlane最新の人気プレミアムプランはちょっぴり高めな年間60ドル。最大5人で使えるファミリープラン(年間90ドル)のほうが割安ですが、それでも1Passwordのファミリープランより年間30ドルほど高めです。あと、Dashlane有料版にはVPNが含まれていますが、この開発元はHotSpot Shield(詐欺的な商慣行で叩かれているVPN)を手掛けるAnchorFreeだったりします。
まだまだある! パスワード管理ソフトのライバルたち
1Passwordと共通の有料機能が多いKeeperとNordPassですが、アプリの使いやすさは1Passwordに届かず。NordPassはセキュリティキー対応(有料パスワード管理ソフトの定番)もまだです。
Avast Passwords、Enpass、RoboForm、Sticky PasswordはどれもWirecutter編集部が求める全OSと全ブラウザに対応していて、料金もリーズナブル。1次選考は通過しましたが、1Password、LastPass、Dashlane、Bitwardenのすべてに揃っている機能がないため、テストの対象からは外れています。Enpass、RoboForm、Sticky Passwordはパスワードの不正入手を監視していません。Avastは家族や友だちとパスワードを共有するシステムを持っていません。Enpassのパスワード共有システムは、共有する保管庫のマスターパスワードも共有しなければならなくて、デバイス間の同期にはサードパーティのサービスの利用が必要。RoboFormとSticky Passwordは第三者によるセキュリティ監査を受けていません。どれもそんなに大きな問題ではないかもしれませんが、「問題ない」以上のクオリティを求めて選外としました。
ほとんどの候補は、OSやブラウザの対応条件を満たさずに選外になっています。これには次のものが含まれます。
Ascendo DataVault Password Manager
Ascend Datavault Password Manager
各種アプリストアの評価が少ないか低い、競合の付加機能がないことで選外になったものは次のとおりです。
個人よりビジネス向けの仕様のものも若干あります。大人数の管理、トップダウンのパスワード要件など、個人というよりIT管理者が気になる問題に対処するサービスですので、ここでは割愛しました。
Mykiはパスワードを直接スマホに保存できるアプリ。ほかの端末とのデータの同期も、クラウドに依存することなく端末同士で直接送受信します。セキュリティとプライバシー保護の点では面白いアプローチですが、スマホを失くしたときのことを考えると、クラウドに同期をとっておくほうがいいし、手動でバックアップとるより手軽と感じる人が多そうです。
脚注
1. 1Password 7 for MacはSafari拡張機能付き。ほかのブラウザを使う場合は手動で拡張機能のダウンロードが必要です。
2. 1Passwordでは二段階認証コードの保存も可能ですが、ほかの認証サービス(Google AuthenticatorやAuthyなど)を使っているなら、1Passwordでコードを生成しなくてもWatchtowerのアラートを無効にできます。
3. 1PasswordもBitwardenもSOC 2 Type II準拠と明記されていますので、システムは最低半年間の継続的な第三者監査を完了していることになります。
ソース
1. What Is Two-Factor Authentication (2FA)?, Authy, January 31, 2018
2. Neil J. Rubenking, The Best Password Managers for 2020, PCMag, December 26, 2019
3. David Gewirtz, The best password managers for 2020, CNET, December 27, 2019
4. Sarah Brown, What if 1Password gets hacked?, 1Password Blog, August 28, 2018
5. LastPass Security History, LastPass, November 2, 2018
6. Bitwarden Completes Third-party Security Audit, Bitwarden Blog, November 12, 2018
https://news.google.com/__i/rss/rd/articles/CBMiRWh0dHBzOi8vd3d3Lmdpem1vZG8uanAvMjAyMC8xMS9iZXN0LXBhc3N3b3JkLW1hbmFnZXJzLXdpcmVjdXR0ZXIuaHRtbNIBSWh0dHBzOi8vd3d3Lmdpem1vZG8uanAvYW1wLzIwMjAvMTEvYmVzdC1wYXNzd29yZC1tYW5hZ2Vycy13aXJlY3V0dGVyLmh0bWw?oc=5
2020-11-25 12:00:00Z
CBMiRWh0dHBzOi8vd3d3Lmdpem1vZG8uanAvMjAyMC8xMS9iZXN0LXBhc3N3b3JkLW1hbmFnZXJzLXdpcmVjdXR0ZXIuaHRtbNIBSWh0dHBzOi8vd3d3Lmdpem1vZG8uanAvYW1wLzIwMjAvMTEvYmVzdC1wYXNzd29yZC1tYW5hZ2Vycy13aXJlY3V0dGVyLmh0bWw
Tidak ada komentar:
Posting Komentar