パスワード管理ツールBitwardenとパスワード考察

こんにちは。
こんな記事を私が書いたところで、、と思ったのですが、色々なサイトでお勧めされているパスワード管理ツールBitwardenがとても良かったのと、パスワードについて自分なりに調査・検討したので自分の切り口で記事にしておきたいと思います。

世の中はパスワードで溢れていますね。毎日Webサイトを閲覧していると一体何回ユーザIDとパスワードを入力するか、そして色々なサイトで新規ユーザ登録を求められます。そして小文字と大文字を記号を全部使え、だの、8文字以上、だの、他のサイトで使っているものは使うな、だの。。挙句の果てには、暫く変えてないから、と変更を強制されたりします。

mami
天才以外は無理じゃない?

と思うわけです。一時、「パスワードなんてランダムに作って忘れてしまえ!毎回パスワード再発行しろ!」みたいな記事を読みまして、ほほぅ。と純粋な私は従ったわけですが、当然ですがなかなか面倒ですぐに止めました。

パスワードの実際

実際のところ、みんなどうなんだろう、と気になりますね。

強度パスワードの文字種出現率は小文字65%、数字67%、大文字12%、記号7%です。有意味語は33%、個人情報は29%パスワードに含まれているそうです。文字長は7-8文字です。
使い回しユーザの 76%が1つ以上のパスワードで使い回ししています。利用サイト数増加に応じて増加傾向にあります。
更新頻度半数以上がパスワードを更新していません。

引用:電気通信普及財団 研究調査報告書 No.30 2015「パスワードの生成・管理における心理学的要因の解明」

ブラウザのパスワード管理はダメ!?

「パスワードは毎回再発行だ!」から学習してブラウザのパスワード管理を(あまり意識せずに)使っていましたが、ブラウザのパスワード管理にもリスクがあります。他のユーザーがコンピューターにアクセスできる場合は、すべてのパスワードをテキストで見ることができてしまいます。また、ブラウザのフォームに自動入力することで、パスワードマネージャが過去の攻撃に対して脆弱になります。

パスワードなどの情報を盗むタイプのマルウェアにコンピューターが感染したら、オートコンプリート機能が記憶しているこれらのデータは、すべてサイバー犯罪者の手に渡ってしまう可能性があります。このような情報窃取型のマルウェアは、サイバー犯罪者の間で広まりつつあります。Kasperskyのセキュリティ製品では、このタイプのマルウェアによる攻撃を今年上半期だけでも94万件以上検知しており(英語記事)、前年同期比で3割程度の増加となっています。
引用:https://blog.kaspersky.co.jp/browser-data-theft/23883/

こちらのサイトはブラウザーに保存されているパスワードなどの貴重なデータをマルウェアがどのようにして盗むのか、このようなマルウェアから身を守るにはどうすればよいかを説明されています。とても面白い記事(?)ので是非ご覧ください。

パスワード管理ツール Bitwarden



https://bitwarden.com/

色々なパスワード管理ツールがある中で、Bitwardenは、オープンソースソフトウェアで、ほぼ制限なしで無料で使えるので、まだパスワード管理ツールを導入されていない方に大変おすすめです。ソースはGitHubで公開されており、誰でも自由にバグの発見・修正を行うことができます。第三者による監査を受けており、安全を確保しています。また、自分のサーバーで実行したい場合は、セルフホスティングして使うことができるようになっています。

Android、iOS、Windows、MacOS、Linux向けアプリ、主要なブラウザーの拡張機能があります。ブラウザのパスワード管理機能はそのブラウザのみですが、Bitwardenで殆ど全てカバー出来てしまいます。また、ブラウザのパスワード管理機能で問題にした、「自動入力」ですが、BitWardenは半自動化の入力ツールです。

資格情報を保存したサイトにアクセスすると、Bitwardenのブラウザーアイコンに、そのサイトから保存された資格情報の数が表示されます。アイコンをクリックすると、候補が表示されるので選択すると、ログインフォームに自動的に入力されます。(Bitwardenは推奨していませんが、自動入力設定にする事も可能です。)

mami
Bitwardenのインストールや設定は沢山のサイトでメチャクチャ丁寧に説明されていたので、セキュリティの観点からお話させて頂きました。

強固なマスタパスワードの作り方

パスワード管理ツールを使えば覚えておくパスワードはマスタパスワード1つで済みますが、マスタパスワード盗まれたらシャレになりません。そして忘れてもシャレになりません。二段階認証の使用をお勧めしますが、覚えられる強固なマスタパスワードはどのようなものでしょうか。

複雑さより長いパスワード長さは複雑さよりも重要で、12~15文字にするとハッキングが難しくなります。
記号をトリッキーに使用する記号は最後につけるより、間にトリッキーに使用します。
ダイスウェアを使用ダイスウェア (Diceware) とは、ダイス(さいころ)を使って「ダイスウェア単語一覧」と呼ばれる単語一覧から単語をランダムに選び、パスフレーズを作る方法のことです。http://www.hyuki.com/diceware/

パスワード管理見直しのきっかけになれば幸いです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)