Lifeclip

川原裕也(@yuya_q)のブログ

2011年07月20日

パスワード管理ツール「Lastpass」のメリットとデメリット

LastPass

パスワード管理が大変な人におすすめしたいLastPass。
前回の記事「安全で覚えやすいパスワードを簡単に作る方法」の続きになりますが、引き続きパスワード管理について考えてみます。

現時点では最強と言われている無料のパスワード管理ツール「LastPass」はとても便利です。
クラウド上でパスワードを管理することで、ブラウザ間、端末間でパスワードを同期することができ、Webサービスなどのログインページにアクセスすると、自動的にIDとパスワードを入力してくれます。(モバイル端末での使用には月額$1のプレミアム会員になる必要があります)

最近は、PC2台持ちの人や、スマートフォンなどのモバイル端末を使う人も増えているので、LastPassの需要は今後さらに増えるんじゃないかと思います。

ランダムなパスワードを自動的に生成してくれる機能もあるので、各Webサービスに複雑なパスワードを設定し、それらを一切記憶しなくてもいい状況になります。
覚えておくのは、LastPassのマスターパスワードただ一つです。

私はなぜLastPassに行き着いたのか

■ブラウザにパスワードを記憶させていたがやめた
私は長い間、パスワードはFirefoxなどのブラウザに記憶させていました。
ブラウザにパスワードを記憶させている人は一番多いと思います。

しかし、ブラウザにパスワードを記憶させるには、いくつかのデメリットがあります。

  • ブラウザ間、端末間での同期が取れないので、パスワードの管理が面倒
  • ある日突然PCが壊れ、記憶させていたパスワードにアクセスできなくなる
  • PCそのものが泥棒に盗まれてしまう
  • PCのウイルス感染によるパスワードの漏洩

※Firefoxは端末間の同期が可能です。

また、LastPassをお試しでインストールした際に、以下のような現象を確認しました。

LastPass1

LastPass2

LastPassのインストール時に、ブラウザに保存されているパスワードを消去するかどうか選択する部分があるのですが、何年も前にFirefoxのパスワードマネージャから消去したはずだったパスワードが、(安全ではないデータ)としてLastpassによって見つけられたのです。

LastPass3
その時の自分のツイートがこれ。

正直、これには衝撃を受けました。
ブラウザ内からパスワードを消去したつもりでも、実はPCのどこかにそれが残ってしまう可能性があることがわかったのです。

さすがにこれはマズイと思い、この日以来、私はブラウザに一切のパスワードを記憶することをやめました。
今では、「IDやパスワードの入力補完機能」もすべてOFFの設定にしています。

■ID Manager、Keepassを使ったがやめた
ID ManagerKeepassはローカルで使うことができる無料のパスワード管理ツールです。
LastPassを試している間は、Keepassをメインに使っていました。

ソフトの起動時にマスターパスワードの入力を求められることや、記憶したパスワードは暗号化されて保存されることから、安全性は比較的高いと言えそうです。

しかし、、、

ID ManagerとKeepassはとにかく使い勝手が悪いんです(´・ω・`)

ID Manager → Chromeブラウザだとうまく動作せず、使えない
Keepass → キーボードが全角入力になっているとローマ字入力されてしまう

一日を通じて様々なサイトにログインする中で、これらを使うのは作業効率に支障が出てしまいそうだったので、結局使うのをやめてしまいました。
パスワードの入力に多少時間がかかってもいいという人には、この2つのソフトはお勧めです。

そして最終的に、ブラウザやパスワード管理ソフトを使うのをやめて、LastPassへの移行を決めたのです。

■Lastpassを試し始めた途端、事件は起きた
LastPassは使い勝手の良いツールですが、決して万能ではなく、こちらにもいくつかのデメリットがあります。

  • クラウド上にパスワードを預けるので、LastPass側のミスでデータが漏れると大変!
  • クラウド上で管理するので、保管データを吹っ飛ばされると大変!

最近流行りのクラウド系サービスに付き物である、「漏洩リスク」、「紛失リスク」は当然LastPassにも存在します。
ファイルなどを管理するのではなく、大切なパスワードをクラウドで管理するわけですから、当然その選択にはシビアになる必要があります。

そこで私は、とりあえず無料ブログのパスワードだけをLastPassで管理し始めました。
しかし、私がLastPassを使い始めてすぐ、あってはいけない事件が起こってしまったのです。

▼LastPassがいきなりオフラインモードに(LastPassが情報漏洩らしい)
http://blog.goo.ne.jp/air511/e/43b5f4462cc0bccf3ea4b4d6a42ef436

LastPassから情報が流出した可能性があるとのこと。しばらくの間、使うこともできない状態となりました。
結局、一部のユーザーに対して、マスターパスワードの変更が推奨されるだけで、事態は終息しましたが、LastPassを使う上で最も恐れていたことが起こってしまい、多くのユーザーが困惑しているのがTwitterなどを見ていてもわかりました。

現時点での私が推奨する3つのパスワード管理法

結局、現在の私は以下のようなパスワード管理法で落ち着いています。

■一切のメモを取らない。使うのはLastPassと脳内記憶
各種パスワードは、PC内にもPC外にも一切メモを取りません。
重要性の低いものはLastPassですべて管理する、重要性の高いものについては前回紹介した「安全で覚えやすいパスワードを簡単に作る方法」を使って脳内に記憶します。

LastPassの利便性は素晴らしいものですが、上記の事件があった以上LastPassを完全に信頼することはできません

LastPassのデータが紛失してしまった時に備えて、保管したパスワードは定期的にエクスポートしてバックアップを取ります。
バックアップしたCSVファイルは暗号化ZipでPC内に保存しておきます。

私の場合、ネット銀行などのログインパスワードなど、一部についてはPC外にメモってます(^_^;)

■クレジットカードは限度額の低いものを
クレジットカードや銀行、証券に関する重要度の高そうなものはLastPassには記憶させません。

これらは、出来る限りオンライン上に記憶させないのがベストだと思いますが、オンラインショッピングのヘビーユーザーなら、クレジットカードをサイト内に登録して、ワンクリックで買い物をしたい人も多いと思います。

そこで、ネット上にクレジットカードを登録する際は、万が一のことがあっても大丈夫なように、出来る限り限度額の低いものを登録しておきます。
アメリカン・エキスプレスのように、オンラインプロテクションとして、全額補償してくれるカード会社もあります。
http://www.americanexpress.com/japan/personal/benefits/safesecure/consumerprotection/onlineprotection.shtml

■パスワードに対する敷居を下げる
パスワードは重要な物であり、決して漏れてはいけない物。という考えから自分を開放します。
自分の中で、パスワードそのものの重要度を低くするのです。

サイトごとに違うパスワードを設定したり、被害の小さいクレジットカードを使うようにするなどの、これまでに挙げてきた方法を使うことで、パスワードの重要性はおのずと下がってくるはずです。

まとめ

パスワード管理において、完璧と呼べる方法はありません。
ガチガチに管理して、パスワード入力毎に時間がかかってしまうとあまり効率的ではありませんし。。。

情報が漏れた場合、情報が紛失した場合の最悪の事態を想定した上で、それぞれのパスワード管理法を実践してみてくださいね!

■LastPassのダウンロードはこちらです
https://lastpass.com/

→ビジネスの相談 お気軽にどうぞ

最後まで読んでいただきありがとうございました

Lifeclipを購読

Lifeclipは、FacebookやRSSリーダーで購読できます。
管理人のTwitterやGoogle+でも、ブログの更新情報や気になった情報を配信しています。

follow us in feedly

タグ: / カテゴリ:IT

関連記事をもっと読む