Sunday, February 20, 2011

あなたのパスワードは大丈夫? [lifehack]


長い話を短くまとめると「LastPass を導入しました.オススメですよ」という話です.
http://lastpass.com/

以下,長い話.


【イントロ】

様々なネットのサービスへの依存度が高まっている昨今,私もスケジュール (Google Calendar),タスクリスト (RTM/reQall),メール (Gmail),ブックマーク (Google Bookmarks),写真 (Flickr),メモやファイル (Evernote/Dropbox),そもそも PC のデータ全部 (Mozy/Carbonite)...と,データをクラウド側に置き,コミュニケーションツールとして Facebook や Twitter,Skype を使い,Amazon や楽天で買い物をして,オンラインバンキングなども利用しています.多かれ少なかれ,みなさんも同様だと思いますが,パスワード管理はどうしていますか?

理想的には,
- サービス毎に違うパスワード
- それらのパスワードは定期的に変更
- 各々のパスワードは大文字・小文字・数字・記号を組み合わせた強固なもの
であるべきです.さもなければ,1つハッキングされた途端,自分が丸裸にされる危険性がある.ただこの運用の致命的な欠点は「とても現実的ではない」ことでしょう.何年も,同じパスワードを,複数のサービスで使い回している人は多いのではないでしょうか.


【で,LastPass って何?】

複数のパスワードをまとめて記憶してくれるツールです.
「自分 ⇔ 各ウェブサービス」だったのが,
「自分 ⇔ LastPass ⇔ 各ウェブサービス」というイメージ.

LastPass のマスターパスワードさえ覚えておけば,LastPass が各ウェブサービスにログインさせてくれます.安全なパスワードを生成したり,クレジットカード番号などを記憶させておくことも可能.PC から使う分には無料で,年間 $12 払えばスマートフォンなどからも利用できるようになる.詳しくはこちら.
LastPass - 無料の機能
LastPass - プレミアムの機能

iPhone/iPad からも使いたいけどお金は払いたくない,という人にはこんな方法も.
iphone ipadのsafariからlastpassを使う

この手のツールは数多く存在し,中でも 1Password が定番ですが,「最近は LastPass じゃない?」という話を聞いて LastPass にしました.1Password は試していないので比較はできませんが,こちらの比較記事 が参考になるかな.


【そんなエラそうなこと言う私はというと...】

LastPass の機能の1つに「セキュリティチェック」というのがあります.ブラウザに記憶させていたパスワードを LastPass にインポートした直後に実行したセキュリティチェックの結果が,恥ずかしながらこちら.



要は,3つのパスワードを,よく使うサービスのほとんどで使い回していたということです.全力でダメ…ですね.でも同じような人,多いんじゃないかな.

現在はそれぞれのサービス毎にユニークな,LastPass が自動生成してくれた安全なパスワードを設定しています.というわけで Google,Facebook,Twitter…自分が利用しているサービス全て,今の私は自分のパスワードを知りませんw


【最後に】

基本的にツールは何も解決しないことを知っておくべきです.作用する個所が変わるだけ.いくら LastPass が便利でも,LastPass のマスターパスワードがバレてしまえば全て知られることになる.広く浅く分散していたセキュリティリスクが,密度が濃くなって局所化されるだけです.

よくアンチウイルスソフトを導入するとそれで安心してウイルス対策を何もしなくなる人がいますが,それは本末転倒.同様にパスワード管理ツールにおいても,せっかく個々のパスワードを覚えなくてよくなったんだから複雑なものを設定して定期的に変更する,マスターパスワードは特に気をつける,といった気配りを同時にしなくては,導入の意味が無い (むしろ導入しない方がいい).

とは言え経験上,数十のサイトのパスワードを変更するのは,思った以上に時間がかかります.無理に1度で終わらそうとせず,自分のペースで少しずつ変えていくのがいいかも.

マスターパスワードについては,小文字・大文字・記号などを組み合わせて8文字以上のパスワードを作れば,仮に秒間1億のペースで brute force attack (総当たり攻撃) を受けても全ての組み合わせを作り出すのに1年以上かかります.複雑なパスワードの覚え方は,この辺りも参考にして頂きたい.
安全性の高いパスワードを作るコツ
安全性の高いパスワードの作り方のコツを知りたい

例えどんな優れたツールを導入しても,セキュリティとユーザビリティのトレードオフは常に存在することを忘れずに.


0 comments: