増え続けるWebサイト用ID/パスワードを管理する(クラウド編):特集(2/2 ページ)
スマートフォンで利用するLastPass
スマートフォンからLastPassのパスワード管理機能を使う場合、無償会員と有償会員(プレミアム会員)で使い勝手が大きく異なる。専用のモバイル・アプリケーションが有償会員しか利用できないためだ。
●無償利用の場合はブックマークレットで自動記入ができる
LastPassは、一般的なスマートフォンのようにアドオンをWebブラウザに組み込めない環境でも自動記入を実現するために、専用の「ブックマークレット」を提供している。ブックマークレットとは、Webブラウザのブックマーク(お気に入り)に登録しておいて、簡単に起動できるスクリプトなどのプログラムのことだ。それらをスマートフォンのWebブラウザにブックマークとして登録しておくと、Webサイトのログイン画面を開いたときに手動でそのブックマークレットをタップすると、LastPass自体へのログイン後、ID/パスワードが自動的に検索・記入される。
ブックマークレットでID/パスワードの自動記入ができる左はiPhoneのMobile Safariのブックマーク一覧で、右はGoogleのログイン画面。アドオンが組み込めないスマートフォンのWebブラウザの場合、ブックマークレットによって自動記入が利用できる。
(1)あらかじめ作成した自動記入用ブックマークレット。ログインしたいWebページを開いた状態でブックマーク一覧を開き、これをタップする。
(2)(1)によってリストアップされたID/パスワードの候補(ただし事前にLastPass自体へのログインを済ませる必要がある)。タップするとログイン画面のテキスト・ボックスに自動記入される。
(3)ログイン画面のテキスト・ボックスに記入済みのID/パスワードを保存するには、これをタップする。
この方法でとにかく面倒なのがブックマークレットをWebブラウザに登録することだ。筆者が試した限りでは、スマートフォンだけでは作成できず、いったんPCで作成してから、そのURLをEメールなどでスマートフォンに移し、ダミーとして作成しておいたブックマークのURLを差し替える、というように手順が多い。しかもブックマークレットは、マスタ・パスワードを変更するたびに作り直す必要がある。
LastPassのモバイル向けサイトでは、保存済みサイト一覧からそれぞれのサイトにジャンプして自動記入/ログインができる。だが、サイトの編集はできない。
●有償会員なら専用アプリケーションでパスワード生成なども可能
前述のように有償会員(プレミアム会員)になると、ブックマークレット方式に加えて、専用のモバイル・アプリケーションが利用できるようになる(執筆時点でAndroid版は無償会員でも最初の14日間のみ試用可能)。iOS版とAndroid版は、以下のアプリケーション・ストアから入手できる(インストール自体は無償)。
- LastPass for Premium Customers(iTunes App Store)
- LastPass Password Mgr Premium(Google Playストア)
以下ではiPhoneでの使用例を紹介しよう。Android版は、細かい手順が異なるものの機能的にはほとんど共通である。
iPhone/Android版LastPassアプリケーションは専用のブラウザを内蔵していて、ログインからページ閲覧まで、すべてこの内蔵ブラウザを用いる。基本的な使い方は、LastPassアプリケーションを起動してマスタ・ログインを済ませたら、サイト一覧から目的のサイトを選んで内蔵ブラウザで開き、自動ログイン後に内蔵ブラウザのままサイトを利用し続ける、というものだ。
iPhoneでID/パスワードを自動的に記入してログインするこれはiPhone向けのLastPassアプリケーションを起動したところ。
(1)これをタップすると、保存済みサイト一覧が表示される。
(2)文字列検索でサイトを絞り込める。
(3)保存済みサイトの1つをタップすると、(4)の画面が表示される。
(4)これをタップすると、内蔵ブラウザによって対象サイトが表示され、ログインまで自動実行される。
(5)LastPassによって自動的に記入されたID/パスワード。ログインも自動実行される。
LastPassに未保存のサイトでも、URLを内蔵ブラウザに直接入力して開けば、以下のように数ステップでID/パスワードを保存できる。
iPhoneでサイトのID/パスワードを保存するこれはLastPassアプリケーションの内蔵ブラウザでチケットぴあのURLを直接入力して開いたところ。アカウント自体は作成済みだが、LastPassには保存していない状態だ。
(1)アプリケーション内蔵ブラウザで対象サイトのログイン画面を開き、ID/パスワードを入力しつつ、ログインしないでおく。
(2)これをタップすると(3)のサイト保存画面が表示される。
(3)自動的に検出されたID(loginId)とパスワード(passWd)。ここには表示されていないがURLも同時に検出される。
(4)これをタップするとLastPassに保存される。
一方、パスワード生成については、PCほど自動化されていない。ランダムなパスワード自体はワンタッチで生成できるが、それをブラウザのログイン画面へ自動的に記入したり、保存済みサイトの旧パスワードを自動的に更新したりすることはできない。そのため、生成したパスワードをクリップボード経由でブラウザに手動でコピー&ペーストするといった手間がかかる。
パスワードは生成できるが、自動記入はできないLastPassアプリケーションを起動して画面右下の[設定]ボタン−[パスワード生成]とタップすると、この画面が表示される。
(1)これをタップするたびに、ランダムなパスワードが生成される。
(2)これをタップすると、生成されたパスワードがクリップボードにコピーされる。自動的記入には対応していないので、これでコピーしたものをブラウザのパスワード記入欄にペーストすることになる。
(3)これをタップすると、生成されたパスワードがサイトとして保存される。その後、手動で編集してサイトURLとIDなどを入力すれば、自動記入に利用できるようになる。
それでもサイトの編集は可能なので、新しいサイトのパスワード生成から自動記入できるように設定するところまで、PCに頼らずにスマートフォンだけで実現できる。
セキュリティは大丈夫か?
まず、LastPassによって保存されるID/パスワードのデータベースは、端末側でマスタ・パスワードによる暗号化をした後にLastPass管理下のストレージへアップロードされる。つまり、簡単に判読できる状態でインターネット上には保存されていないということだ。また端末とLastPassサイトとの間の通信も暗号化されている。
むしろ注意すべきは、ユーザー側の運用だろう。最も重要なのはマスタ・パスワードを漏らさないことだ。もし漏えいしたら、保存してあるすべてのID/パスワードが悪用される危機に瀕することはいうまでもない。マスタ・パスワードを保存したままのノートPCやスマートフォンを紛失した場合も同様だ。
対策としては、LastPassにログインした端末を他人に触らせない、共有PCでマスタ・パスワードを入力しないなど、いわば基本を守るのが第一だろう。モバイル・アプリケーションでは独自の暗証番号でロックできるが、暗証番号は4桁しかないので、万一の紛失時にマスタ・パスワードや保存済みパスワードを書き換える前の時間稼ぎと捉えるべきだ。PCであれば、USBキーによる2段階認証を利用できるとのことだ(ただし有償会員になる必要がある)。
また、機密度の高いサービスにLastPassは利用しない、あるいはほかのサービスとは異なるマスタ・アカウントで管理する、といったことも考慮する必要がありそうだ。
【やって分かった】ベーシック認証時に自動記入されないなど、細かい不具合はある
本稿執筆時に気付いたLastPassの不具合について列挙しておく。
- ユニバーサル・インストーラではOperaにプラグインがインストールできないことがあった(単体でのインストールには成功した)
- Google Chromeでベーシック認証のID/パスワードに失敗するサイトがある(別のサイトや、同じサイトでもInternet Explorerでは成功した)
- パスワードの強度やほかのサイトとのパスワード重複をチェックする機能があるものの、明らかにユニークなパスワードでも「重複している」と警告されることがあった
いずれも細かい不具合で致命的ではない。プラグインの更新頻度は意外と高いので、今後改善されることを期待したい。
LastPassのようなパスワード管理ツールを使えば、同じパスワードの使い回しや「弱い」パスワードの利用を防止できるため、アカウント不正利用に遭遇する確率を下げたり、万一のときの被害拡大を抑えたり、といったセキュリティ上のメリットも期待できる。マスタ・パスワード突破によって一網打尽にされる危険性も生じるが、前述のように運用に注意できるなら、メリットの方が上回ると筆者は考えているが、いかがだろうか?
「特集」
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。