Webセキュリティの小部屋

総務省がサービス提供事業者向けのリスト型攻撃に対策集を公開したことに端を発して、パスワードの定期変更などといったパスワードに関することがネットの一部で熱く議論されています。

パスワードの定期変更については、改めて書くかもしれませんが今回はパスします。

総務省の提示した以下の内容が問題になっています。

• ユーザーに複数のサイトで同じパスワードの使い回しをしないことを啓蒙する
• ユーザーは十分に複雑なパスワードを使用する
• サービス提供者はパスワードに有効期限を設けて、ユーザーに定期的にパスワードを変更させる

パスワードを定期的に変更させるという部分がポイントですが、この 3 つを実現すると人間の記憶力ではとてもじゃないけれどもパスワードを管理しきれなくなります。総務省の対策集もその辺は分かっているようで、例示という形ではありますがパスワードマネージャーの紹介をしています。

パスワードマネージャーとは、複数のサイトのパスワードを保存しておき、ユーザーは 1 つのマスターパスワードを覚えておくだけで複数のサイトに自動的にログインできてしまうという便利なアプリケーションのことです。

さて、この便利なパスワードマネージャーをなんで私は使いたくないのでしょう？

それは、パスワードマネージャーは便利である一方でリスクもあると考えているからです。

iPhone とかであれば 1Password あたりが有名なアプリだと思いますが、アプリにパスワードを保存すると、端末が故障してしまった場合にパスワードが分からなくなってしまいます。クラウドサービスにパスワードを保存しておくこともできるようですが情報漏えいの可能性があります。

マルチデバイス環境では、トレンドマイクロが提供しているようなパスワードマネージャーを利用することになるのでしょう。サービスでは明記されていませんが、その仕組み上、クラウドでパスワードを保存しているのだと思います。そうすると、このサービスから情報漏洩が起きたとしたら非常に深刻な問題となってしまいます。

また、マスターパスワードを忘れてしまった場合も、全てのパスワードが分からなくなってしまいます。

パスワードが分からなくなるリスク、情報漏洩のリスクを踏まえると、現状ではパスワードマネージャーを使いたくないと考えます。

今まではリスクについて考えてきましたが、感覚的な問題も大きいです。

パスワードをアプリに保存する、もしくはクラウドサービスで第三者に預けるというのが感覚的に気持ち悪いのです。重要な情報を自分以外の何かに預ける不安感と言ってもよいかもしれません。

リスクと感覚的な気持ち悪さから、私はパスワードマネージャーを使用することを現状では選択しません。

但し、これは将来に渡ってパスワードマネージャーを使用しないかと言えばそうではありません。

これは、パスワードマネージャーというより、シングル・サインオン・サービスと言った方がよいと思いますが、信用に値するシングル・サインオン・サービスが提供するアプリであれば使用したいと思うでしょうね。信用できるかどうかは、サービス提供者の信頼と実績が必要です。

残念ながら、現状ではそういうサービスが見つからないので、やっぱりパスワードマネージャーは使わないという結論になります。将来に期待をしながら不便に耐えていきます。

カテゴリー:ブログ