パスワードマネジャーはどれを選ぶべき? 押さえておきたい10の機能とは ESET:「強いパスワード」が重要な理由
ESETは、強いパスワードが重要な理由と、パスワードマネジャーを選択する上で押さえておきたい10個の機能を解説した。
ESETは2023年4月11日(米国時間)、パスワードマネジャーを選択する上で押さえておきたい10個の機能を解説した。
ESETは、パスワードを置き換える新たな技術の登場により、将来的にはパスワードが不要になるとした一方、現状では、パスワードに代わる新たな手段として普及には至っていないと指摘している。
パスワードは、メッセージやSNS、ストリーミングアプリのアカウントなど、個人情報を保護する手段の一つだが、同時に潜在的なセキュリティリスクでもある。「銀行口座などのオンラインアカウントですら二要素認証を使用している人は少ない」とESETは指摘している。
なぜ強いパスワードが重要なのか?
ハッキングによって取得されたパスワードは、個人データや保存されたクレジットカードなど、さまざまなアカウントへの侵入が可能になるため、ブラックマーケットで売買される。
ESETは、パスワードが抱えるセキュリティリスクについて、次のように指摘している。
- 大規模なデータ侵害が発生し、取引先の企業からパスワードが窃取される
- なりすましによるフィッシング詐欺でSNS、銀行、ストリーミングサービスなどのアカウントパスワードが窃取される
- ブルートフォースソフトウェアでアカウントのパスワードを解読される
こうして盗まれたパスワードは、ユーザー名とセットでサイバー犯罪市場で取引される。Digital Shadowsの報告によると、2022年に取引されたセットは24億個にも上り、2020年と比べても65%も増加しているという。
ハッカーは盗み出したパスワードを使用して、他のWebサイトやアプリで再利用されていないかを確認している。
「ユーザーは、Webサイトやアプリ、オンラインアカウントにアクセスする際に、それぞれ別個の強力なパスワードを使用する必要がある。さまざまなアプリやサービスでパスワードを別個に使用、管理する上で、パスワードマネジャーは最適解だ」(ESET)
パスワードマネジャーに必要な10の機能とは?
パスワードマネジャーを使用する上でユーザーが把握する必要があるのはパスワードマネジャーにアクセスするためのマスターパスワードのみだ。だが、今日、多くのパスワードマネジャーがある。ESETは、パスワードマネジャーを選ぶ際には次の機能を備えているかどうかを確認すべきだと指摘した。
1. 強力な暗号化で保護されたパスワード保管庫
パスワード保管庫(Vault)を提供するプロバイダー自体がハッキングされたとしても、業界標準の暗号方式である「Advanced Encryption Standard(AES) 256」を使用していれば、ユーザーのパスワードが漏えいすることはないとした。
2. 長く、複雑でランダムな数字、文字、記号を提案する強力なパスワードジェネレーター
パスワードジェネレーターが提案したパスワードを使用することにより、パスワードがブルートフォースで推測される可能性は低くなる。
3. あらゆるプラットフォームとブラウザでサポートされていること
パスワードマネジャーは、アクセスするWebサイトやアプリのパスワードを全て記憶し、呼び出せるものでなければならない。ブラウザや他のパスワードマネジャーから資格情報をインポートできれば、利便性は向上する。
4. オートフィル/オートログイン
パスワードマネジャーにはマスターパスワード入力後に、各アカウントに割り当てられた強力で複雑なパスワードを自動的に入力する機能が求められる。
5. リモートログアウト
アカウントからリモートでログアウトできるだけでなく、ブラウジング履歴やクッキーを消去し、開いているタブをリモートで閉じることができる機能も必要だ。
6. 二要素認証(2FA)との統合
2FAはパスワードに加えて顔認証やワンタイムパスコードなど、2つの要素で認証する。「Google Authenticator」などのサードパーティー2FAと統合できるパスワードマネジャーは、ユーザー体験向上の役に立つ。
7. マスターパスワードのリセット機能
マスターパスワードを忘れた場合のために、リセット機能のあるものを選ぶべきだ。
8. 信頼できるベンダー
パスワードを管理するベンダー自体が侵害された場合、全てのパスワードが公開される可能性がある。パスワードマネジャーベンダーのセキュリティ実績は確認すべきだ。
9. セキュリティレポート
セキュリティレポートはセキュリティレベルの低いパスワードを自動的に検出し、まとめて表示する。ユーザーが脆弱なパスワードを見つけ、改善するのに便利な機能だ。
10. ストレージはローカルかクラウドか?
パスワードを保存する場所には3つの種類がある。ローカル、クラウド、ローカルデータベースを使用しながらクラウドアカウントに保存するものだ。それぞれにメリット/デメリットがあるため、環境に応じて最適なものを選ぶ必要がある。
最後に、パスワード自体の限界を理解しておくことも大切だ。パスワードマネジャーと2FAを組み合わせることで、ハッカーによる侵入、窃取の危険性を大幅に低減できることを覚えておこう。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
パスワードに代わる認証方式「パスキー」に関する7つの誤解 1Passwordが解説
1Passwordは、パスワードを必要としない認証方式として注目される「パスキー」の仕組みに関する7つの誤解を公式ブログで紹介した。
まさかの情報漏えいからあなたを守る「BitLocker」の使い方【Windows 11】
PCの紛失や盗難などによって大事なデータが盗まれてしまう可能性がある。これを防ぐには、大事なデータが保存されているディスクを暗号化してしまうことだ。そこで、Windows 11標準の暗号化ツール「BitLocker」を使った暗号化の設定方法と解除方法を紹介しよう。
サイバー攻撃者が狙う「アタックサーフェス」が増えた今、境界防御に加えて重視すべきこととは
2023年3月に開催された「ITmedia Security Week 2023 春」の「拡大するアタックサーフェス、“社内攻撃”を想定せよ」ゾーンにおいて、現役ペネトレーションテスターの上野宣氏が「拡大するアタックサーフェス、攻撃者は如何に侵入するのか」と題して講演した。