パスワード管理どうればいいの？ ~令和最新版~

　　　画像: パスワード－もっと強くキミを守りたい－ IPA情報処理推進機構

この記事は NTTコムウェア Advent Calendar 2021 16日目の記事です。
コムウェアではセキュリティコンテストの問題作成, QA, PO, SMなどをしてました。

はじめに

突然ですが、正しくパスワード管理できますか？
「雰囲気でやってる」、「なかなか時間が無くて…」

そんな貴方に朗報です。実はパスワード管理を安全＆超絶簡単にする方法があるんです！
今回は具体的な方法を分かりやすく解説していきたいと思います。

対象読者

• 紙やメモ帳でパスワード管理をしている人
• パスワードを使い回している人
• 2要素認証がよくわからない人
• パスワードマネージャや2要素認証を流行らせたい人

管理の必要性

※興味ない人は【何をすれば良いのか】まで飛ばして下さい

不正アクセス経験者は 5人に1人

皆さんは不正アクセスがどれくらいの頻度で起こっているか知っているでしょうか？
実は正確なデータは存在しません。（個人で被害に遭っても報告する人は稀ですからね）
統計によると大体 5人に1人 らしいです。

芋づる式に広がる被害

もし不正アクセスの被害に遭った場合、何が起きるのでしょうか？

これは何のサービスで被害に遭うのか次第なところが大きいのですが、今回は仮にGmailが乗っ取られた場合は考えてみます。

犯人はまずパスワードの変更を試みます。
これにより本来の所有者（=あなた）がGmailを利用できなくなり、時間を稼ぐことができます。

次にGmail内を検索し、どんなサービスを利用していたのか調べます。
例えばGmailでAmazonに会員登録していた場合、Amazonのサイトで「パスワードリセット」を行うことで、Amazonにもログインできるようになります。これ以上の説明は割愛します。

同様の手口でSNSにもログインされ、DMでプリカを要求したり、フィッシングサイトのURLを送りつけたりしていることでしょう。

このように、いくらでも芋づる式にアカウントを乗っ取られる可能性があります。
また、被害は自分だけでなく知り合いにも飛び火します。

このような乗っ取り被害に遭ってから後悔しますか？
それとも被害に遭う前に対策しますか？ ここから先はあなた次第です。

何をすれば良いのか

パスワードマネージャ と 2要素認証 を併用して下さい。

2021年末時点ではコレ以外の方法はお勧めできません…

恐らく「クラウド上にメモを保存する派」や「物理紙にメモする派」、「コアパスワードを用いてにサービスごとに別のパスワードを作成する派」など色々な派閥の皆様からマサカリを頂戴するのは承知です。
ですが敢えて言おう 「全てパスワードマネージャより脆弱である」 と。
（理由は FAQ に書いておきますので、質問/反論があればコメント欄にお願いします）

パスワードマネージャ編

パスワードマネージャって何？

今回はChromeに標準搭載されているパスワードマネージャを例に解説します。

Chromeをお使いの方は一度は上のような光景を目にしたことがあるのでは無いでしょうか？
どこかのサービスにログインした際に、Chromeが勝手に覚えているアレです。

※他のブラウザにも大体同じような機能があります。ブラウザに依存しないアプリもあります。
　→ 無料・有料・買い切りの安全なパスワード管理アプリを紹介 ※外部サイト

メリット・デメリット

メリット

• 十分な強度のパスワードを利用できる
• パスワードの使いまわしがなくなる
• フィッシングサイトに気づきやすい
  • →貴方はどちらの画面がフィッシングサイトか見分けられますか？
  • 　画像：フィッシング詐欺は見破れる？ 事例や手口、対策や偽サイトの見分け方を解説
  • パスワードマネージャはURLとアカウントを紐付けて記憶しているため、人間の様に誤ってフィッシングサイトにID/パスワードを入力してしまう事がありません。

デメリット

• サービス事業者（今回の例だとGoogle）がハッキングされるリスク
  • 一応あり得ますが、人間がフィッシングサイトに引っかかる確率と比べると無視できるほど小さなリスクなのでパスワードマネージャの利用を推奨しています
• PCの盗難に弱い
  • パスワードロックをかけることで対策可能です
    • 紛失/盗難が発覚したら速やかに該当PCのGoogle認証資格を無効化してください
• 共用PCで利用できない
  • ※そもそも共用PCでID/パスワードを入力すること自体が危険なのでやめて下さい（キーロガーなどが仕込まれているリスクがあります）

パスワードマネージャを有効にする

もし「こんな画面見たことない」or「自分のChromeがパスワードを覚えてくれない！」という場合は、パスワードマネージャ機能がOFFになっている可能性があります。

設定画面は↓のURIをchromeで開くとたどり着けます。
　chrome://settings/passwords
　※セキュリティ制約のためリンクにできません。お手数ですがコピペして開いて下さい。
↑を開くとこんな画面になります。矢印のところを有効にして下さい

パスワードマネージャの使い方（基本）

普段どおりにアカウント登録しようとすると、パスワード入力欄に以下のようなポップアップが出てきます。

このピンク枠部分をクリックするとパスワードが自動入力されます。
この状態でアカウントを作成すると、URL / ID / パスワードの3つをセットにしてChromeが記録してくれます。

無事アカウント作成できたら、一旦ログアウトして下さい。
もう一度ログイン画面を開くと、以下のように ID / パスワード が自動入力されているハズです。

多分これが一番早いと思います。思っていたより簡単だったのではないでしょうか？
たったこれだけで安全・快適なパスワード管理ライフを満喫できるようになりました。

パスワードマネージャの使い方（応用）

ブラウザ以外にパスワードを入力したい場合

↓のページから保存してあるアカウント情報の一覧が見れます。
https://passwords.google.com/

こんな画面が表示されます（モバイル可）

→今回はQiitaをクリックしてみます。

↑の矢印のところのアイコンをクリックでID / パスワードがコピーできます。
周囲の人にパスワードを覗き込まれる心配が無いのも良いですね。

パスワードの分析

あなたのパスワードの流出や使い回しを一発でチェックしてくれるツールです。
定期的にチェックすることをお勧めします。

パスワード チェックアップ - Google
→パスワードを確認をクリック

　　　↑こうなっていればOK！ この調子でパスワード管理しましょう。

　　　画像：https://wind-mill.co.jp/google-password-checkup/
　↑もしこういう画像が表示された場合は、赤いものから順番に対処することを推奨します。

2要素認証編

2要素認証って何？

最近Googleアカウントを作成された方は見たことがあると思います。
ID/パスワードとは別に、スマホに送られてくる6桁の数字を入力させるアレです。
(※厳密な2要素認証の定義とは異なりますが、話を簡単にするためご容赦下さい)
　

　画像：二要素認証と二段階認証の違いを理解していますか？ | サイバーセキュリティ情報局

どうして2要素認証が必要なの？

パスワードをどれだけ複雑にしていても、必ず流出のリスクは残ります。
（例えば企業の情報漏えいや、自分がフィッシングサイトに引っかかりパスワードを入力してしまうなど）

こういったケースに強いのが2要素認証で、万が一パスワードが漏れてしまっても第三者の不正アクセスを防ぐことができます。

2要素認証を有効にする

手順はサービスごとに違うので、ここではGoogleアカウントの2段階認証を紹介します。

2段階認証プロセス - Google

　お好みの方法で2要素認証を設定して下さい。

まとめ

いかがでしたか？セキュリティ意識が高まりましたでしょうか？
どんどん進化するパスワードマネージャから今後も目が離せませんね！！
皆さんのお気に入りのパスワード管理方法があったら是非コメントで教えて下さい。

FAQ

不正アクセスで報道されたサービスを使っていなければ平気でしょ？

• いいえ、報道されるのは「流出」した場合だけです
  • 流出していなくても、総当り等であなたのパスワードを当てられたら被害に遭います

URLの鍵マークのないところでパスワード入れなければ平気でしょ？

　画像：フィッシング詐欺は見破れる？ 事例や手口、対策や偽サイトの見分け方を解説

• いいえ、鍵アイコン付与(=HTTPS化)は誰でも無料でできてしまうので鍵マークがあっても安全とは限りません
  • よく誤解される話題なので是非周りにも教えてあげて下さい

どういうパスワードが良いの？

• 内閣サイバーセキュリティセンター（NISC）の「インターネットの安全・安心ハンドブック」によれば、10文字以上と書かれています。
• 参考までに総当りでパスワードが当てられるまでの時間を貼っておきます。
  • ※一次情報に前提条件が書かれていなかったので参考程度に… 　　　画像: https://twitter.com/sen_u/status/1427538088113283072

紙にメモして管理するのは駄目？

• 以下の観点から非推奨です
  • パスワードを手動で入力するため、パスワードの桁数が短くなるバイアスがかかります
  • フィッシング詐欺に対して脆弱です
  • ソーシャルハッキングに対して脆弱です
  • 入力の際にキーロガーによるパスワード窃取のリスクがあります
  • 災害/盗難リスクへの対策が必要です

クラウド上にメモを保存して管理するのは駄目？

• 以下の観点から非推奨です
  • フィッシング詐欺に対して脆弱です
  • ソーシャルハッキングに対して脆弱です

パスワードは十分複雑で、使い回しもせず暗記してます

• フィッシング詐欺に対して脆弱です

GAFAを信用していないのでパスワードマネージャを利用したくありません

• GAFA以外がリリースしているブラウザやパスワードマネージャをご利用下さい

パスワードの定期的な変更は必要？

• 不要です
  • それよりもパスワードを 長く、複雑に する方が重要です
  • 2017年6月に発表されたNISTの「電子的認証に関するガイドライン」では、「サービス提供者はパスワードの定期変更を要求すべきでない」と記載が変更されました。

メールアドレスがインターネット上に漏れたら使わない方が良い？

• 使い続けてOKです
  • そもそもメールアドレスは公開情報として考えてください
  • メールアドレスとパスワードがセットで漏れた時に問題となります

2要素認証を有効にしていればパスワードマネージャは不要ではないですか？

• いいえ。2要素認証も突破するフィッシングサイトが存在します
  • 2要素認証を突破するフィッシングサイトの仕組み
    • 画像：二要素認証突破の手口と対策 | サービス&セキュリティ株式会社

2要素認証と2段階認証の違いは何？

• 2段階認証の方が大きいグループ分けです
  • 2要素認証は2段階認証の一種です
  • 参考：二要素認証と二段階認証の違いを理解していますか？

参考URL

• IPA 独立行政法人 情報処理推進機構
  • https://www.ipa.go.jp/
• 国民のための情報セキュリティサイト（総務省）
  • https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.html
• インターネットの安全・安心ハンドブック - みんなでしっかりサイバーセキュリティ
  • https://www.nisc.go.jp/security-site/handbook/index.html
• 徳丸浩のウェブセキュリティ講座
  • https://www.youtube.com/channel/UCLNW6Bo_YU3TxnzsII2gEDA