最近「長年手を焼いていたシリーズに決着がついたのでまとめます」ばっかり書いている気がするんですが、今回もそれです。
パスワードに関する運用がなぜ難しいのか、その理由は次の2つで説明できると思っています。
- 利便性の優先度を下げると日常が超めんどくさくなる
- 利便性の優先度を上げるとセキュリティが疎かになる
この記事でもこれらを主軸にしつつ話を進めてみます。メインで使うものは 1Password です。
なぜ普通の人よりややこしい状態になっていたのか
僕が日頃メインで触るデバイスは
- Windows
- Mac(個人用)
- Mac(仕事用)
- iPhone
の 4 つです。
そしてそれぞれで現在使用しているブラウザは
- Windows:
Vivaldi - Mac(個人用):
Vivaldi - Mac(仕事用):
Vivaldi - iPhone:
Google Chrome
という感じ(スマホのブラウザはそのときどきでどれを使うのか安定しないのだけどそれもまた事態をややこしくしている)。
まず問題の第一は Vivaldi にあって、たぶん大多数のユーザーは常用ブラウザが Chrome なおかげで何もしなくてもパスワードの自動管理がブラウザではなく Google アカウントに紐づくのだけど、これは Vivaldi だと起き得ません。
Chromium ベースではあるものの、Vivaldi はパスワード管理など含む chrome(vivaldi)://settings 内の設定がより権限の強い Vivaldi 側でオーバーライドされているような印象で(実装ベースで詳しく仕様を把握しているわけではないけど長年使っていてそういう感じがする)、Chrome ユーザーが行っているのと完全に同じようなことは実現できません。少なくともブラウザに Google アカウントでログインしているわけではないので Google アカウントにパスワード管理が紐づかないのは明白です。
chrome(vivaldi)://settings の画面。
「じゃあ Vivaldi で設定の同期とかやればええやん」に対しては、以下 2 つの問題によって過去何度も挑戦しているけど結局断念するという形になっている。
- Vivaldi で同期しようが結局 iPhone ではその内容を拾えないので全然解決にならない
- 言うまでもなくそのために使うブラウザを変えるなどという選択肢は言語道断。それは絶対に考え方の順番が間違っている(というかそもそも Vivaldi の iOS 版はずっと存在していない(リクエスト多なのでいつかは出ると思うけど))
- Vivaldi の「設定の同期」で事故った経験が 2 回もあり、いい印象がない(もう触りたくない)
そもそも僕は設定をネットワークで同期するのが本当に嫌いで、Vivaldi 以外でも VS Code、Photoshop や Premiere とか各 Adobe 製品などなど、常用するソフトで全て試して全部痛い目を見ています…。それぞれ違ったエピソードがあって記事ネタ的にはぜひ書きたいところだけど、少なくとも今回は除外します。。
ほんでさらに面倒を増やしてくれるのが、スマホの各アプリでのログイン認証とかのやつ。
ブラウザでしかパスワードが保管されていないと各アプリの認証情報は当然個別に管理する必要が出てくることになるんですよね。これは iPhone の場合「キーチェーン」で対応が可能ですが、つまりそれはまた新しい要素が絡んでくることを意味します。
というわけでここまで登場したパスワード管理的なやつの各状況をまとめると、
| Vivaldi に保存されているもの | 同期なし、確実だが同期がないので当然複数デバイスで苦労する、iPhone でどうしようもない |
| Google アカウントに保存されているもの | 同期ありだが Vivaldi が Chromium としての管理をせき止めているためにほぼ機能しない状態 |
| iCloud に保存されているキーチェーン | 同期ありで機能もするが、Safari 以外のブラウザでは優先して働かないために本気で使うなら他を捨てる必要がある、しかし当然ながらそもそも Windows 環境で利用できない |
| iOS の Chrome が勝手に溜めていくやつ | これもはや詳しいことは謎なんですが、「保存しますか?」で Yes を答えたけど Google アカウントには保管されなかったものがあって、まさかローカルの世界もある?など |
みたいな有り様に。
ちなみに、パスワードを保存に頼らないというアプローチはこの次に書く話によって完全に消えます(簡単に言うと自分が覚えられるパスワードは一切使わないからです)。
で、じゃあこれまでどうしていたのよというと、
- メインの Windows の Vivaldi のみをマスター管理元とする
- 適当なタイミングで各 Mac には手動エクスポート→インポート(Mac では開発用のサービスくらいしか使わないのでこれで正直なんとかなってたし、外に持ち出す PC にいたずらにパスワードを入れたくなかったという意味ではセキュリティ的にもまあまあだった)
- バックアップはたまーに手動エクスポートしてファイルベースで管理
- iPhone だけはどうしようもなかったので「OneDrive のガチガチ保管庫にエクスポートした生のテキストファイルを置いておき、出先で本当に必要になったらそこを開いて目視でパスワードを確認」とかやっていた(これも外出が少なくそもそもスマホを使わない自分的には全然なんとかなってた)
…でもだけどよ、めんどくせーのよ!!!!!
Chromium 系列ブラウザに保存されているパスワードは chrome://flags から「パスワードのエクスポート」を有効化すると使えるようになります。
OneDrive にある「個人用 Vault」という特にセキュリティを重視したいものを置いておく場所。PC なら SMS などの二段階認証、スマホなら生体認証などプラスのロックがある。
結局は「めんどい」というだけのことです。こんなスマートじゃない運用そのものが気持ち悪いし自分的には納得できません。なんとかしたかった。
今のところ 1Password はこの辺りの問題をすべて解決してくれています。
パスワード自体はどういう感じにしていたか
いま現在の話に入る前にもうひとつだけ。パスワード管理ではなくパスワードそのものはどうしていたかの話です。
いま僕が持っているいくつかのメールアドレスは中学生のころに作成したもの。そのくらい昔から使っているアカウント ID があるということはつまり各サービスに設定しているパスワードもまあお粗末なものだったわけで、半角英字 6 桁(数字なし)しかないとかいう恐ろしいものも珍しくなかったです。
現代では半角英数字 8 桁程度ならパスワードは設定されていないのとセキュリティ強度的には大して変わらないと思ったほうがいいです(もちろん実際のサービスログインの仕組み的には何度も試行できないので簡単にログインされたりはしないけど)。
ということで何年もかけて「貧弱なパスワードの存在に気づくたびに強いものにリセットする」という作業をやってました。使ったことのあるサービスすべてに全部一気にやるのは考えただけでも吐き気がするので少しずつやっていこうという考え方です。
パスワードの生成には Passwords Generator というサイトを使っていて、これは生成ルールを URL でプリセット保存できるのでおすすめです。
例えばこんなプリセットをご紹介してみます:
https://www.graviness.com/app/pwg/?l=256&n=1&m=10&r=3&s=1&c=0-9A-Za-z
ルールは
- 半角英数字(大文字小文字区別)
- 256 文字
です。
このルールなら現代の人類の能力では天と地がひっくり返ってもパスワードは破られないので安心して使ってください。その件について気になる方は僕が書いた この記事 をぜひどうぞ。
みなさんの感覚からすると「ただ 256 文字が並んでいるだけでそんなに?」と思うかもですが、これがどんくらいやべぇ強度か軽くだけ説明しますと、
・太陽の寿命が来るまで今から 50 億年のあいだ、
・100 億人の人が、
・毎ナノ秒 1 兆個の数値を消費していく活動があり、
・その活動を、太陽系が属するこの銀河系の全ての星(~2,000 億くらい)でおこなうと、
・消費される数字の個数は、50 億年 × 100 億人 × 100000000 ナノ秒 × 60 秒 × 60 分 × 24 時間 × 365 日 × 1 兆個 × 2000 億個(星) で 59 桁の数字になる
・こんなに頑張って消費しても、50 億年後 (太陽が赤色巨星になって太陽系が崩壊する頃) に消費し終わっているのは、全体の 100 京分の 1 。
この説明文が表している数字の大きさは 2^256 なのですが、さっきの生成ルールのパターン数はなんと 52^16 です。この数字は計算機に入れると「無限」って言われます。
どうですか?宇宙がなくなることより可能性は低いかもしれません。
※真面目なことを言うと、「半角英数字(大文字小文字) + 16 文字 + アンダースコア」あたりがおすすめです(生成 URL)。記号は 1 つ入るだけで堅牢性が劇的に上がるのですが、サービスによっては使えない文字も多いので最も汎用性が高いアンダースコアのみを入れています。この桁数でも現代では全く心配はいりません。
…でさあ、これからも新しいサービスに登録するたびこんなことするのめんどくせーのよ!!!!!
1Password では自動で強力なパスワード生成をしてくれる機能があることをもとから知っていたので、より期待値が高まるわけでした。
最後に一応書いておきますが、パスワードの使い回しをしている人はいますぐやめたほうがいいです。文字通り 1 日でも早くやめるべきです。
冗談じゃなく簡単に破られますよ。だって漏洩したリストを入手したらその組み合わせを使って色んなサービスにログインを試すだけだもん。僕だって自分が攻撃者ならまずそうします。
あと二段階認証が存在するサービスは積極的にかけておきましょうね。
1Password のいいところと今の運用
引っ張りましたがやっと 1Password の話!
概要は 1 行で終わらせます。
パスワード管理をいい感じにしてくれるやつです。はいおわり。
他に説明しておかないといけないことがあるとするならサブスクリプション型の有料サービスであるということでしょうか。でもたった月 300 円くらいだし、むしろ現代の個人が持つ最も重要な個人情報と思われるパスワード類の管理に対して「お金を払う安心感を得る」というのが 300 円で実現できるというのは僕にとっては破格の安さであると感じられます。
できることはこんな感じ。
- パスワードを含むクレカ番号など色んなタイプの保管
- 各デバイスの各ブラウザで自動入力をサポート(スマホアプリにも対応)
- もちろん全デバイスで自動同期
- 新規アカウント作成時の自動パスワード生成
ほとんどのユーザーがたぶん上記の機能のみを使っていると予想します。例えばパスワードやクレカ番号以外にも
こんなに多くの種類があって、たぶんそれぞれに何か独自の付加機能とかがあったりするんだろうけど、僕は使ったことないですし必要性も特に感じていません。
利用法は、
- PC では常用するブラウザに 1Password 公式の拡張機能をインストールする
- スマホでは 1Password アプリをインストールする
でそれぞれあとはいい感じになります。細かい説明は例によって省きますね。特にハマるポイントもないはずです。
パスワード保存済みのドメインにアクセスしたときのサジェストの雰囲気はこんなん。
かなり以前に 1Password を試したときはここの UI で「うわぁ…」と思って使う気にならなかった記憶がすごいあるのだけど、今回もう一度試したときにはとても使いやすい印象でした。その後継続利用していますが全体としてポジティブなイメージが維持できています。サービスを使う目的という意味で信頼感が命なのでこれは助かった。
新規アイテムの登録時もかなり良いフローです。
Chromium 系って基本 ID とパスワードのみで、残りの属性の管理もガバガバなとこあるじゃないですか。あれらまでまとめて綺麗に管理できるのは思わぬ利点でした(上図参照)。これはだいぶ気持ちいい。
アイテムごとにメモを付加したり対象のドメインを複数にしたりできるのも気に入っています。
さっきも書いたように PC で 1Password を使う場合は「ブラウザに専用の拡張機能をインストールする」という形になるので、記事の冒頭で書いたような「ブラウザのローカル上に直接保管させていく手法」とは併存が難しいです。
1Password はデフォルトでブラウザ側へのパスワード保存を遮断するような設定になっていて、1Password を使い始めたら潔くすべて乗り換える必要があります(セキュリティ的にはこの対応は正しい)。
そうはいっても不安は残るので、僕は気が向いたら 1Password からたまに手動エクスポートしたりしてます。隕石が降ってきて 1Password のサーバーが全滅しない可能性は 0 ではないので。
とはいえたったひとつのサービスに少額のお金を払うだけでこれらほぼ全ての問題を解決できてしまったのは「いままでなんだったん…?」感がヤバいです。別にお金を払うことを嫌がっていたわけでも、ましてや 1Password に食わず嫌いをしていたわけでもなかったのにすごい回り道をしてしまったなーという感じです。まあ結果オーライ!
最後もうひとつだけ注意です。
さっきも似たようなことを書きましたが、1Password というからには実際に自分が設定するパスワードは 1 種類のみになっていなければならず、1Password の中で保管されている各パスワードが従来の自分で決めたもののままである人はセキュリティ的にはほとんど改善していない状態であるので十分に気をつけてください。
とはいいつつも僕も本当に数個だけは自分が覚えているパスワード(いくつかパターンがある)にしています。それは Google/Microsoft/Amazon のサービスのように様々なデバイスから頻繁にアクセスが予想されるものです。
もし 1Password に何かがあったときこれらにすぐアクセスできないことは本当に死を意味する可能性があるのでこうしています。このレベルのサービスにはもれなく二段階認証があるのでセキュリティ的にも問題はないという判断をしています。
おわりに
最近「お金を払う意味」についてよく考えるんですが、それでいうと「安心より安いものはない」というやつ、なるほどなぁと思います。
でも今回に関しては「安心を買っている」というより正確には「管理の面倒くささを一任している」とかのほうが近いかも。でもこれが無料サービスだったら「そんなところに全部預けられるかよ」ってやっぱりなるのかなあ、どうだろうなあ。そうだとしたらめちゃめちゃ美味しいビジネスポイントを考えたなーなども思います。
パスワード管理で何か困っていることがある方、1Password の無料体験で自分のイメージ通りのものかを確かめてみるのがおすすめです。
1Passwordは継続利用するなら公式サイトからギフトカード$125〜$150を$99で購入すると少し節約できた気がします(今は円安で微妙かもしれないですが…)
おーそんなのあるんですね。
でも月300円のものを33回分先に払うのはちょっとなあ…。笑
3年以内にはまた何らか問題が起きそうというのもあります(遠い目)
Bitwarden が無料で使えて最強だと思いますが、使ったことありますか?
存在は本当につい最近知りました。
無料しかないというのは僕にとってはデメリットだったのですが、個人でも有料プランはありますし法人向けプランもちゃんとあるんですね。
いま 1Password でなんの不満もないので特に試そうという気にはならないですが、次の候補としては第一優先で考えたいと思います!
パスワードの同期が面倒でChromeから離れられなかったので試しに使ってVivaldiに移行してみます、ありがとうございました
Chrome に頼っているとジリ貧になりますからね、早ければ早いほどいいと思います!
WindowsでもiCloudキーチェーンは使えるっぽいので一応リンク貼ります。
https://support.apple.com/ja-jp/guide/icloud-windows/icw2babf5e03/icloud
https://chrome.google.com/webstore/detail/icloud-passwords/pejdijmoenmkgeppbflobdenhhabjlaj?hl=ja
いや、わかります。わかりますよ。iCloud 経由でならたしかに取れるんですけど…
Windows の iCloud アプリはものすごく使いづらいことで有名なんですよね。Chrome の拡張機能のほうは初めて知りましたが、異様に評価が低いのも気になります…。
一応情報共有でということですよね!
ありがとうございました!
1Passwordは、アプリ/ソフト入れてればローカルにも保存されてるんで、サーバーに隕石が落ちてからエクスポートでも問題なさそうですね笑
それは嬉しいのかもしれませんが、一体なんのための SaaS なんだという気がしますね、、、
災害で複数のサーバーが停止するという超例外的なことが起きたんだったら、SaaSとして機能を果たさなくなるんで、パスワードエクスポートして待避するしかないし、しょうがなくないですか…?
パスワード管理はBitwardenに落ち着きました。
個人的にはかなり使いやすいです(*^o^*)
はい、記事にはしてなくて Twitter に投稿しただけですが、僕もこのあと Bitwarden になりました。笑
いまも安定して使えています。どこかで追記しないとな…。