パスワードマネージャーを使うべきか?メリットとリスクを比較検討
パスワードマネージャーはアカウントを保護する最善の方法でしょうか?それとも、リスクの高い脆弱性なのでしょうか?メリットとデメリットをご紹介します。
多くのサイバーセキュリティの専門家は、パスワードマネージャーを使用することが、 強力でユニークなパスワード 各オンラインアカウントについて。一方で、これらのツールの価値を過小評価する人もいます。
攻撃者にとって、パスワード マネージャーは重大な脆弱性を表します。パスワード マネージャーは、紛失、盗難、またはハッキングされる可能性のある単一のマスター パスワードによって保護された、機密性の高い情報の宝庫です。
- 最高のパスワード マネージャー ソフトウェア オンラインアカウントを安全に保つため。
- LastPass、1Password、その他のパスワード マネージャーはハッキングされる可能性があります。どうすればよいでしょうか?
では、誰が正しいのでしょうか?Tom's Guideチームは、多くのデジタルセキュリティの専門家と話し合い、現在のパスワード管理ソリューションの長所と短所について調査しました。
ここでは、物議を醸しているこれらの技術ツールについての彼らの意見と、すべてのパスワードを 1 か所に保管することに伴うリスクを軽減する方法に関するヒントを紹介します。
セキュリティ専門家がパスワード管理ソフトウェアを称賛
すべてのセキュリティ専門家がパスワードマネージャーを好んでいるわけではありませんが、好む人はパスワードマネージャーのない世界を想像できません。その好例が、ボストンを拠点とするセキュリティアナリストであり、Safr.meのCEOであるロバート・シチリアーノ氏です。彼は、現在650以上のパスワードを使用しているため、パスワードマネージャーなしでは仕事ができないと述べています。
「パスワードマネージャーがなければ、ユーザーは管理もままならないまま、脆弱なパスワードを使い続けてしまいます」とシチリアーノ氏はメールで述べています。「重要なアカウント全てに同じパスワードを使い回してしまい、必然的にハッキングされることになります。」これは、機密データを守るために強力なパスワードマネージャーを使用することの重要性を浮き彫りにしています。
しかし、パスワードマネージャーの使用に論理的な反論はないと主張するシチリアーノ氏でさえ、すべてのパスワードを一箇所に保管することのリスクを軽減するための対策を講じています。こうした予防策は、情報セキュリティの強化に不可欠です。
彼は、最も重要なアカウント(オンラインバンキングのアカウントなど)のログイン情報は記憶しているものの、残りのパスワードはウェブベースのパスワードマネージャーに保存していると説明しました。記憶と保存のバランスをとることが、バランスの取れたセキュリティ戦略と言えるでしょう。
「誰もすべてのパスワードを覚えることはできません。」
ニューヨークでITコンサルティング会社「タブッシュ・グループ」を経営するモリス・タブッシュ氏は、個人情報保護のためにパスワードだけに頼ることのリスクを指摘している。 あなたのデジタルアイデンティティ彼は、この困難な現実の中で、ユーザーはパスワードを保護するために最善を尽くすべきだと考えています。
Taboush の場合、最善の解決策はパスワード マネージャーを使用することです。
「サイトやサービスごとにパスワード要件が異なるため、すべてのサイトやサービスで同じユーザー名とパスワードを使うことは不可能です」とタボシュ氏はメールで説明している。「異なるユーザー名とパスワードの組み合わせをすべて覚えられる人はいません。」
タボッシュ氏は、自身と顧客(多くの顧客は数十のオンラインアカウントを持つ中小企業の経営者)にとって、パスワードマネージャーの重要性を強調しています。彼はSiber SystemsのRoboFormを愛用しています。これはWindowsとMac、そしてiOSとAndroidのモバイルデバイスで利用できるパスワード管理アプリケーションです。
Tapush RoboFormは、デスクトップ、ノートパソコン、iPhone、iPadなど、あらゆるデバイスで動作するため、理想的な選択肢です。このウェブベースのパスワードマネージャーは、パスワードを暗号化されたファイルに保存するため、Tapushデバイスが盗難に遭っても、犯人はログイン情報にアクセスできません。これにより、アカウントのハッキングやデータ盗難に対する保護がさらに強化されます。
デジタル技術のダークサイド
もちろん、パスワードマネージャーなしでは生きていけないと主張する専門家がいる一方で、一生パスワードマネージャーなしで過ごしたいと考える専門家もいます。こうした意見の分かれるところは、データセキュリティに対する正当な懸念を反映しています。
これは、モントリオールを拠点とするサイバーセキュリティコンサルティング会社、Digital Locksmiths の共同設立者兼 CTO であるテリー・カトラー氏の見解です。
メールインタビューで、カトラー氏は「私はパスワードマネージャーのファンではありません。もし一つでも侵入されれば、すべてのコードが盗まれてしまいます」と述べた。特にサイバー攻撃がますます巧妙化している今、カトラー氏は潜在的なリスクがメリットを上回ると考えている。
オレゴン州ポートランドに拠点を置くサイバーセキュリティ企業、トリップワイヤーのセキュリティ研究開発ディレクター、タイラー・レゴリ氏もカトラー氏に同調する。彼は、パスワードマネージャーは、特に安全に設定する専門知識を持たない家庭ユーザーにとっては、メリットよりもデメリットの方が大きいと主張している。
「パスワードマネージャーは、社会の悪い習慣をコンピュータに伝える手段です」とレゴリ氏は付け加えます。「パスワードを『書き留める』ことは許されないので、代わりにコンピュータに『保存』するのです。『保存』とは、単に『書き留める』のデジタル版に過ぎません。」レゴリ氏は、単一のパスワードマネージャーに頼ることで脆弱性が集中し、攻撃者にとって魅力的な標的になってしまうと説明しています。彼は、アカウントごとに強力で異なるパスワードを使用し、可能な限り二要素認証を有効にするなど、より優れたセキュリティ対策を講じることを推奨しています。
「オンラインパスワードマネージャーを信用していません。」
どのツールが安全で、どのツールが安全でないかを判断するのは必ずしも容易ではありません。ReliaQuestのセキュリティ戦略ディレクター、ケン・ウェスティン氏が指摘するように、パスワードマネージャーが実際にどれほど安全であるかを知ることは困難です。
「個人的に、オンラインパスワードマネージャーを信用していません」とウェスティン氏はメールで述べた。「安全ではないと思うからではなく、どれほど安全なのか、どのように私の情報を保存するのか、そして私のデータが適切に暗号化されているのかどうかがわからないからです。」
この疑念から、ウェスティン氏は最も機密性の高い情報をウェブベースのパスワードマネージャーに保存しないと述べた。金融機関やメールアカウントのパスワード管理については、機密性の高いパスワードのセキュリティを確保するには潜在的なリスクから隔離する必要があると考え、オフラインツールの使用を推奨した。
「最大限のセキュリティを確保するには、これらのサービス(金融機関やメールアカウント)のパスワードは、KeePassのような暗号化されたオフラインパスワードマネージャーに保存する必要があります。これらのパスワードマネージャーは、開く際に認証が必要で、定期的に安全にバックアップする必要があります」とウェスティン氏は述べている。これにより、これらの重要な情報へのアクセスが適切に保護される。
シアトル地域のセキュリティとプライバシー保護企業PrevendraのCEO、クリストファー・バージェス氏は、パスワードマネージャーを信頼できない人は、代わりに手動でパスワードを追跡することを提案した。この方法により、機密データを完全に制御できる。
「手動システムは2冊のノートを使えば簡単に導入できます」とバージェス氏は言います。「1冊目のノートには、アカウント情報(サービス名、URL、ユーザーID、シリアル番号)を記入します。2冊目のノートには、シリアル番号の横にパスワードと認証に関するメモを記入します。2冊目のノートは安全な場所に保管し、パスワードを思い出せなくなったときに参照してください。」このアプローチはシンプルですが、パスワードのセキュリティを直接管理したい人にとっては、現実的な代替手段となります。
講じるべきセキュリティ対策
私たちが話を聞いた専門家の多くはパスワードマネージャーについて強い意見を持っている一方で、多くのセキュリティ専門家は中立的な立場を取っているようです。彼らはパスワードマネージャーを便利なツールではあるものの、完璧でもハッキング不可能でもないと考えています。
多国籍ウイルス対策企業ソフォスの上級研究科学者チェスター・ウィズニエフスキー氏は電子メールで、パスワード管理ソフトを賢く選ばない人は「すべてを支配する一つの指輪」を渡してしまうことになるかもしれないと指摘した。
ウィズニエフスキー氏は、「よく知られた信頼できるアプリを探す」ことを推奨しています。「これらのアプリはデータをローカルで暗号化し、暗号化にサードパーティに依存しません。個人的にはLastPassとKeePassが好きです。」
オンタリオ州ウォータールーのサイバーセキュリティ企業、APrivacyの創設者兼CEOであるセドリック・ジェノ氏も、どのパスワードマネージャを使用するかを決める際に、信頼できるデータ暗号化の重要性を強調した。
ジーノ氏は、選択したパスワード マネージャーがデータをコンピューターのローカルではなくクラウドに保存する場合は、情報が保存されている国、その情報にアクセスできる可能性のある人物、およびパスワード マネージャー サービスに細心の注意を払う必要があると説明しました。
Tripwire のシニア セキュリティ マネージャーである Lamar Bailey 氏は、個人は暗号化以上のセキュリティ機能、つまりユーザーのオンライン ID の保護に役立つ機能を備えたパスワード マネージャーを探すべきだと考えています。
「多くのパスワードマネージャーは、侵害されたウェブサイトやHeartbleedのような深刻な脆弱性の影響を受けているウェブサイトについてユーザーに警告を発します」とベイリー氏は電子メールで付け加えた。
ベイリー氏は続けて、パスワード マネージャーに関して覚えておくべき最も重要なことは、ツールを保護するために使用するマスター パスワードであると述べました。
ベイリー氏は、「パスワードマネージャーの安全性は、マスターパスワードの安全性に左右されます。そのため、ユーザーは常にパスワードマネージャーのパスワードを非常に強力にし、頻繁に変更する必要があります」と強調しました。
コメントは締め切りました。