2017年3月3日金曜日

「1Password」や「LastPass」などのパスワードマネージャーに重大な欠陥があると専門家が警告

スマホで、パスワード管理が簡単で便利ですよと、よく紹介されているパスワードマネージャーですが、「1Password」や「LastPass」などのパスワードマネージャーには、ドイツのセキュリティ研究者によると重大な欠陥があるそうです。

これまで、スマホで人気のパスワードマネージャーを使っている人は要注意です。

大事なパスワードをパスワードマネージャーに預けるのは、”自分の大事なものを知らない人の金庫に預ける”のと同じ気がします。

また、2014年には、アメリカの研究者が、Web版の「LastPass」「RoboForm」などのパスワード管理ツールに潜む危険性を指摘しています。

少々、めんどうでも、自分なりに工夫して、パスワードをノートに記録したり、データにまとめ暗号化し、紛失やデータの流出に注意して、管理するほうが一番安全かもしれません。

 
■Google Playで人気の高い9つのパスワードマネージャーアプリに重大な脆弱性(欠陥)

パスワードマネージャーの重大な欠陥の詳しい内容は、以下の記事に紹介されています。

 「1Password」や「LastPass」など9つの人気パスワードマネージャーに情報漏えいのリスクがあると報じられる - GIGAZINE
 http://gigazine.net/news/20170302-9-password-manager-leaking-secret/


この記事によると、ドイツのセキュリティ研究者が、Google Playで人気の高いパスワードマネージャーアプリを調査した結果、重大な脆弱性(欠陥)があり、ユーザーIDやパスワードといった認証情報を漏らしてしまう可能性があることを発見しています。

調査したのは、Google Playで人気の高い9つのパスワードマネージャーアプリ

「LastPass」「Keeper」「1Password」「My Passwords」「Dashlane Password Manager」「Password Manager」「F-Secure KEY」「Keepsafe」「Avast Passwords」

テスト結果、9つのアプリで合計26件の脆弱性(欠陥)を発見し、それぞれ1つ以上の脆弱性を持つことが明らかになったそうです。


■Web版のパスワード管理ツールにも欠陥や不備

なお、2014年の下記の記事によると、米カリフォルニア大学バークレー校の研究チームが、Web版の「LastPass」「RoboForm」などのパスワード管理ツールに潜む危険性を指摘しています。

 Web版のパスワード管理ツールに潜む危険性、研究者が指摘 - CIOニュース
 http://itpro.nikkeibp.co.jp/atcl/idg/14/481709/071700003/

調査したパスワード管理ツールは、「LastPass」「RoboForm」「my1login」「PasswordBox」「NeedMyPassword」の5種類。いずれも人気のあるサービスです。

研究チームによると、調査した5種類のツールすべてで欠陥や不備が見つかったそうです。全体として、あまりに多様な脆弱性が見つかったことから、パスワード管理ツールがセキュリティに関して失策を犯していると研究チームは捉えているようです。




■ 安全なパスワード管理方法とは


長年、どうやってパスワードを管理するか考えてきて、今、私が実施している方法を以下に紹介します。なお、これでも100%安全とは言えませんが、少しでも参考になれば幸いです。


 (1) パスワードを紙のメモに記録して保管

 (2) パスワードをデータにまとめ暗号化して保管

 (3) 暗号化したパスワードのデータをオンラインストレージまたはUSB(暗号化機能付き)に保管



詳しい内容を以下に説明します。


■(1) パスワードを紙のメモに記録

IDとパスワードを紙のメモに記載して保管します。この方法、紛失のリスクもあり、最初は不安でしたが、実行してみると簡単で便利な方法です。

ただし、紛失したときの危険性を考え、IDとパスワードを別々の紙に分けて管理すると安全です。もし、ID・パスワードを一緒に記載する場合は、パスワードの書き方を工夫し、類推されないように注意することが必要ですね。

私は、大事な一部のID・パスワードを小型のノート(電話帳みたいなもの)に記載して、手帳と共に常時、持っています。


■(2) パスワードをデータにまとめ暗号化

IDとパスワードを記載したデータを「パスワード付きの電子ファイル」として保持します。

例えば、Microsoftの表計算ソフト(Excel)で作成し、読み込み時のパスワードを設定すると暗号化され安全になります。詳しくは以下を参照ください。

 Officeのパスワード使っていますか? パスワードで暗号化すれば安全に
 http://lifesecurityup.blogspot.com/2015/09/office201320102007.html


また、テキスト形式で作成し、それを暗号化Zipで圧縮&暗号化しても良いです。暗号化Zipには、フリーソフト「7-Zip」が便利です(《補足1》参照)。


■(3) 暗号化したパスワードのデータをオンラインストレージまたはUSB(暗号化機能付き)に保管

私は、Dropboxを長年愛用しているので、Dropboxに保管していますが、セキュリティ上、不安な方は「暗号化機能付きのUSBメモリ」でも良いです。

なお、オンラインストレージを利用する場合、2段階認証にして不正アクセスを防ぐことが大事です。詳しくは《補足2》を参照してください。



《補足1》暗号化圧縮形式Zip対応 フリーソフト「7-Zip」の使い方

このソフトは、圧縮・解凍ソフトでは代表的な人気のあるソフトです。専用の形式「7zフォーマット」に対応するほか、各種の圧縮・解凍形式をサポートしています。また、強力な「256AES 暗号化機能」、自己解凍形式、ファイルの分割・結合、テストの実施、お気に入り機能などをサポートしています。

 ダウンロード : http://sevenzip.sourceforge.jp/

7-zipのダウンロードは、32ビット版と64ビット版が用意されているので、環境に合わせてダウンロードしましょう。ちなみに、「32ビットか64ビットか?」は、OSの違いで判断します。

インストール後、7zFM(7zFM.exe)をダブルクリックして起動します。”2画面分割”で使うと操作が便利になります。

なお、USBでも使えるポータブルタイプの「7-Zip Portable」もあります。私は、このポータブルタイプをDropboxのフォルダーに保管して利用しています。

 7-Zip Portable: http://portableapps.com/apps/utilities/7-zip_portable


《補足2》オンラインストレージサービスの不正アクセス対策に、2段階認証を活用

オンラインストレージサービスの中には、自分の大切なデータがたくさんあり、不正アクセスされ悪用されると、とても危険です。

2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。

次のブログに、Google、Dropbox、Microsoftの”2段階認証”の方法をまとめていますので、参考にして下さい。

 Googleの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/09/500google2.html

 Dropboxの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/10/dropboxid.html

 Microsoftの”2段階認証”について
 http://lifesecurityup.blogspot.jp/2015/08/microsoft2.html