パスワード管理を考え直すべき?
「一括管理とかマスター壊されたらアウトじゃんねーおおこわいこわい」
「今どき記憶に頼るとか馬鹿じゃねーの?」
僕は今までずっと断固前者だったわけですが、ちょっとパスワード忘れた機能*1使うとか、パスワードは覚えてるんだけど紐付けを忘れて試行錯誤したり*2ということが増えてきたので、ここいらで考え直そうかというお話。
どっちが馬鹿なの?
たしかに、1Passwordのようなツールを使うと、すべてのパスワードを一ヶ所で保存し、ひとつのパスワードで管理することになります。しかし、その仕組みはよく考えられていて、非常に安全。誰かがすべてのパスワードが含まれているファイルを手にいれたとして、さらにマスターパスワードも流出してしまう、もしくはこれを解読しない限り、パスワードを破られることはありません。ウェブサイト経由で破られてしまう可能性に比べれば、リスクは極めて小さくできます。
ウェブアプリ開発歴15年の筆者が勧める、1つのパスワードによるセキュリティ強化法 | ライフハッカー[日本版]
結局は、一括管理のほうがまだマシだろうと。
マスターキーを全てのサイトで使うのと同義じゃないのとも思いましたが、鍵の使い回しが危険なのは鍵の強度に関係ないですしね。大手サイトなら家よりしっかりしてるんじゃないかということはあるけども、「大手(の特権持ち)が裏切るかも」「公開用に最適化されている」「他のユーザーも鍵束へアクセスする」等々考えると、微妙なところ*3。
なのでローカルで一括管理はありかもと思いました。
鍵束の管理方法
紙なりUSBメモリなりに記録して物理的にしまい込むってのは、普通に印鑑通帳と同じ感じがして好きなんだけど、不便。
インターネットに接続されていないPCに入れておくのは復号されたデータも隔離されていていいけど、コピペ使えないし。
オンラインに鍵束を置くなんてのは最近どこも信用してない僕には到底無理な話です。
さて・・・いつも使うPCでツール使いましょうか。
さて、Twitterでつぶやいたらフォロワーさんが教えてくださった1Passwordというソフトがいい感じです。ブラウザでログインすると自動回収してくれるし、デザインも素敵。けど$50とお高い*4のでぐぬぬっています。RoboFormという似たようなものもありますが、これも有料だし、サイトの翻訳がひどいし、なによりサイトの翻訳がひどいし。
フリーソフトもIDManager、LastPass、KeePassと見てみましたが、クラウド必須だったりブラウザ連携弱かったりと微妙な感じ。1Passwordを試用してるので一括管理がいい感じだったらKeePass使おうかなと思っています。
もっと素敵なソフトをご存じでしたらぜひ教えてくださいな。