スマートフォンからLastPassのパスワード管理機能を使う場合、無償会員と有償会員(プレミアム会員)で使い勝手が大きく異なる。専用のモバイル・アプリケーションが有償会員しか利用できないためだ。
LastPassは、一般的なスマートフォンのようにアドオンをWebブラウザに組み込めない環境でも自動記入を実現するために、専用の「ブックマークレット」を提供している。ブックマークレットとは、Webブラウザのブックマーク(お気に入り)に登録しておいて、簡単に起動できるスクリプトなどのプログラムのことだ。それらをスマートフォンのWebブラウザにブックマークとして登録しておくと、Webサイトのログイン画面を開いたときに手動でそのブックマークレットをタップすると、LastPass自体へのログイン後、ID/パスワードが自動的に検索・記入される。
この方法でとにかく面倒なのがブックマークレットをWebブラウザに登録することだ。筆者が試した限りでは、スマートフォンだけでは作成できず、いったんPCで作成してから、そのURLをEメールなどでスマートフォンに移し、ダミーとして作成しておいたブックマークのURLを差し替える、というように手順が多い。しかもブックマークレットは、マスタ・パスワードを変更するたびに作り直す必要がある。
LastPassのモバイル向けサイトでは、保存済みサイト一覧からそれぞれのサイトにジャンプして自動記入/ログインができる。だが、サイトの編集はできない。
前述のように有償会員(プレミアム会員)になると、ブックマークレット方式に加えて、専用のモバイル・アプリケーションが利用できるようになる(執筆時点でAndroid版は無償会員でも最初の14日間のみ試用可能)。iOS版とAndroid版は、以下のアプリケーション・ストアから入手できる(インストール自体は無償)。
以下ではiPhoneでの使用例を紹介しよう。Android版は、細かい手順が異なるものの機能的にはほとんど共通である。
iPhone/Android版LastPassアプリケーションは専用のブラウザを内蔵していて、ログインからページ閲覧まで、すべてこの内蔵ブラウザを用いる。基本的な使い方は、LastPassアプリケーションを起動してマスタ・ログインを済ませたら、サイト一覧から目的のサイトを選んで内蔵ブラウザで開き、自動ログイン後に内蔵ブラウザのままサイトを利用し続ける、というものだ。
LastPassに未保存のサイトでも、URLを内蔵ブラウザに直接入力して開けば、以下のように数ステップでID/パスワードを保存できる。
一方、パスワード生成については、PCほど自動化されていない。ランダムなパスワード自体はワンタッチで生成できるが、それをブラウザのログイン画面へ自動的に記入したり、保存済みサイトの旧パスワードを自動的に更新したりすることはできない。そのため、生成したパスワードをクリップボード経由でブラウザに手動でコピー&ペーストするといった手間がかかる。
それでもサイトの編集は可能なので、新しいサイトのパスワード生成から自動記入できるように設定するところまで、PCに頼らずにスマートフォンだけで実現できる。
まず、LastPassによって保存されるID/パスワードのデータベースは、端末側でマスタ・パスワードによる暗号化をした後にLastPass管理下のストレージへアップロードされる。つまり、簡単に判読できる状態でインターネット上には保存されていないということだ。また端末とLastPassサイトとの間の通信も暗号化されている。
むしろ注意すべきは、ユーザー側の運用だろう。最も重要なのはマスタ・パスワードを漏らさないことだ。もし漏えいしたら、保存してあるすべてのID/パスワードが悪用される危機に瀕することはいうまでもない。マスタ・パスワードを保存したままのノートPCやスマートフォンを紛失した場合も同様だ。
対策としては、LastPassにログインした端末を他人に触らせない、共有PCでマスタ・パスワードを入力しないなど、いわば基本を守るのが第一だろう。モバイル・アプリケーションでは独自の暗証番号でロックできるが、暗証番号は4桁しかないので、万一の紛失時にマスタ・パスワードや保存済みパスワードを書き換える前の時間稼ぎと捉えるべきだ。PCであれば、USBキーによる2段階認証を利用できるとのことだ(ただし有償会員になる必要がある)。
また、機密度の高いサービスにLastPassは利用しない、あるいはほかのサービスとは異なるマスタ・アカウントで管理する、といったことも考慮する必要がありそうだ。
本稿執筆時に気付いたLastPassの不具合について列挙しておく。
いずれも細かい不具合で致命的ではない。プラグインの更新頻度は意外と高いので、今後改善されることを期待したい。
LastPassのようなパスワード管理ツールを使えば、同じパスワードの使い回しや「弱い」パスワードの利用を防止できるため、アカウント不正利用に遭遇する確率を下げたり、万一のときの被害拡大を抑えたり、といったセキュリティ上のメリットも期待できる。マスタ・パスワード突破によって一網打尽にされる危険性も生じるが、前述のように運用に注意できるなら、メリットの方が上回ると筆者は考えているが、いかがだろうか?
「特集」
Copyright© Digital Advantage Corp. All Rights Reserved.