パスワードマネージャー使いはじめるの苦行だった

背景

パスワードマネージャーはコレがイイ!!情報は無限にあります。

でもちょっと。ブラウザ、OS、Excel台帳、テキストファイル、紙、これら散らばったパスワードを、完全にパスワードマネージャーに集約するのは、そこそこ難行だった記憶があります。なのに「いや、やれよ、できるだろ、真のエンジニアならば」で済まされてる感があり、これは記事のネタになるのではないか。そんなメモです。

パスワードがどこに散らばっているか、全容を把握する

以下のような場所に散らばっています。

ブラウザのパスワードマネージャー

現代のブラウザであれば、パスワードマネージャー機能が統合されており、エクスポートでき、OFFにもできます。ただし当然ですがブラウザ「間」で融通したり、ブラウザからネイティブアプリにパスワードを流したりはしてくれません。

• Chrome
  • https://support.google.com/chrome/answer/95606?co=GENIE.Platform%3DDesktop&hl=ja
• Firefox
  • https://support.mozilla.org/ja/kb/password-manager-remember-delete-change-and-import
• Safari
  • https://support.apple.com/ja-jp/guide/safari/sfri40599/mac
• 他多数は調べてくれ

OS

OS組込みのパスワードマネージャーが覚えていることがあります。

• iCloudのキーチェーン
  • エクスポート機能は存在しない。ひとつずつ、コピペや目視は可能っぽい。
  • https://support.apple.com/ja-jp/HT204085
• Windowsの資格情報
  • よくわからん
  • https://121ware.com/qasearch/1007/app/servlet/relatedqa?QID=019411
• Android
  • よくわからんけど、iOSと似た雰囲気になってるっぽいですね
  • https://andronavi.com/2018/08/467336/
• Linuxデスクトップ
  • よくわからんけど、macOSのキーチェーンと似た仕組みがGNOMEにあった気がする

他

• Excelのパスワード台帳
  • ファーーーーー
• テキストファイル
  • ファーーーーー
• 紙
  • ポストイットに書いてるとか
  • この世界には「パスワードノート」なる製品が存在しています
    • https://www.google.com/search?q=%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89+%E3%83%8E%E3%83%BC%E3%83%88

パスワードマネージャーを選び、インストールする

好きなの選んだらよろしいです。イマドキのは、デスクトップOS(Win/Mac/Linux)、スマホOS(iOS/Android)、ウェブブラウザ(Chrome/IE/Edge/Safari/Firefox)に対応しています。また、何らかの方法で、複数端末のパスワードを、単一のデータベースに集約、共有できるようになっています。

まあなんだ、このあたりですか。

URL	料金	パスワード保管	参考
https://1password.com/jp/	月額課金	1passwordのサーバー	つかったことないのでわからん
https://www.enpass.io/	月額課金	任意のクラウドストレージ	https://eizone.info/enpass-password-manager/
https://bitwarden.com/	無料	bitwardenのサーバー	https://zakupika.com/archives/1531

他、有象無象が多数。

どれでもいいので、決めて、オンラインアカウントを作って、手持ちのすべての端末にパスワードマネージャーアプリをインストールして、ログインまでやりましょう。デスクトップブラウザは、ブラウザ拡張を入れましょう。スマホのブラウザは、iOSとAndroidでそれぞれ作法が違うかと思いますが、パスワードマネージャーアプリをインストールしておけば、間違いはないです。

さて、いきなりパスワードマネージャーを使うか。そんな無理はやめましょう。ひとまず今までどおりの管理方法を使えばよいです。

パスワードマネージャーにインポートする

段階的に移行しましょう。散らばったパスワードを、パスワードマネージャーにインポートして、それまでの管理方法を使うのをやめるのです。

ブラウザ

エクスポートして、インポートして、ブラウザのパスワードマネージャーをOFFにする。これは楽です。どのパスワードマネージャーも、主要なブラウザのエクスポート形式に対応してるので、そのままインポートできます。

インポートしたら、ブラウザのパスワードマネージャーはOFFにしましょう。OFFにしてどうするか。今後は、さっきインストールしたブラウザ拡張に、IDとパスワードを入力させます。

• Chrome
  • https://support.google.com/chrome/answer/95606?co=GENIE.Platform%3DDesktop&hl=ja
• Firefox
  • https://support.mozilla.org/ja/kb/password-manager-remember-delete-change-and-import
• Safari
  • https://support.apple.com/ja-jp/guide/safari/sfri40599/mac
• 他多数は調べてくれ

OS

iCloud、Windows資格情報、Android、Linuxデスクトップ、どれもCSVやJSONでエクスポートできそうな気がしません。じゃあどうするか。ひとつずつ目視 & コピペで、パスワードマネージャーにエントリを作っていきましょう。がんばれ。

インポートしたら、可能な範囲でOFFにしたり、パスワードマネージャーに向き先を変えましょう。

たとえばiOSだと、設定の「パスワードを自動入力」で、OFFにするのと、向き先を変えるのができます。これ設定すると、アプリのログイン画面で、パスワードボックスをタップすると、いつものキーボードが出るのに加えて、パスワードマネージャーに候補を出させられるようになります。

Androidも似たようなことができるらしいですね(手元に実機ない)。

Excelのパスワード台帳

パスワードマネージャーは、CSV形式やJSON形式でのインポートに対応しています。整形してインポートしましょう。

インポートしたら、もうExcelのパスワード台帳のことは忘れましょう。削除するのが最善です。

テキストファイル

パスワードマネージャーは、CSV形式やJSON形式でのインポートに対応しています。整形してインポートしましょう。

インポートしたら、もうテキストファイルのことは忘れましょう。削除するのが最善です。

紙

OCR、と言いかけて、精度に無理があるので諦めましょう。

目視と手打ちで、パスワードマネージャーにエントリを作っていきましょう。がんばれ。

インポートしたら、もう紙のことは忘れましょう。シュレッダーにかけるのです。

パスワードを強固なものに変更する

わたしが使っている https://www.enpass.io/ は、「脆弱なパスワード」「使い回しているパスワード」「xx日、変更していないパスワード」などの観点で、変更をリコメンドしてくれます。ランダムで長大で強烈なパスワードを生成してくれますので、地道ですが、変更していきましょう。

アカウントを棚卸しする

パスワードを強固なものに変更していくと、もうこのサービス使わねえな、と思うことがあります。退会しましょう。パスワードマネージャーからエントリを削除しましょう。

ひさびさに見に行ったらサービス終了していた、ということも多々あります。パスワードマネージャーからエントリを削除しましょう。

おまけ; 2FAをパスワードマネージャーに統合してよいか

Google Authenticator、5個くらいは大丈夫ですが、10個を越えると、わりと苦行になりますよね。だいたいのパスワードマネージャーは2FAをサポートしていて、統合管理できるようになっています。Google Authenticatorやめて、パスワードマネージャーに集約してしまいたいインセンティブがあります。

しかしホイホイやると、2「要素」ではなく、パスワードマネージャーという1要素で2「段階」になるよ、控え目にいって台無しになるよ、という論があります。たとえば以下。

• https://blog.manabusakai.com/2016/01/rethink-two-factor-auth/

完全にそのとおりで、対策として、パスワードマネージャーのロック解除に追加の要素、たとえばMacならTouch IDをかけるなどが考えられます。

総括

なんとなく面倒くさくてパスワードマネージャー使ってない、そんな方が多いかと思います。この記事で面倒くささの姿が明らかになりました。面倒くさいのは変わってなくて申し分けないです。しかし、あとはやるだけです。やれ。