パスワードマネージャー

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索

パスワードマネージャー(パスワード管理ツール/サービス)は、アプリケーションのID・パスワード認証に用いられる複数のパスワード(またはIDとパスワードの組)を記憶・管理する機能、ないしその機能を有するアプリケーションである。

ID・パスワード認証は通常、アプリケーションが個別に行なう。アプリケーション利用者が複数のアプリケーションで共通のID・パスワードを用いている場合、いずれかのアプリケーションでID・パスワードが攻撃者に漏洩すると、攻撃者はそのID・パスワードの組を用いて別のアプリケーションに認証を試みる(パスワードリスト攻撃)。その結果、複数のアプリケーションになりすましでログインされ、被害にあう可能性がある[1]

このため、利用者はアプリケーションごとに異なるIDとパスワードの組を設定する必要がある。しかし、アプリケーションの数が増えるにしたがい利用者は別々のパスワードを記憶することになり、今度は逆にパスワードを忘れてしまうリスクが増加してしまう。そのため、今度はできるだけ単語などの覚えやすいパスワードにしようとすると、単語の組み合せのパスワードは辞書攻撃によって容易に破られてしまう。強くすると覚えられない、覚えられるようにすると弱くなるというジレンマがある。また、記憶しておくためにID、パスワードをファイルなどに保管すると、今度はそれらのファイルが盜まれたりしないように安全に管理しておく必要が生じる。

パスワードマネージャーは、この煩雑な複数のID・パスワード管理を代替してくれる機能である。

パスワードマネージャーの機能[編集]

パスワードマネージャーの主な機能は次の通りである。

  • パスワード(またはIDとパスワードの組)の記憶
    パスワード(またはIDとパスワードの組)を対応するアプリケーションと連携づけて記憶する。
  • パスワードの安全な保管
    暗号化や、保管されている情報のアクセスに認証による制限を設けるなどして、安全に保管する。
  • 記憶したパスワードによる自動入力、自動ログイン支援
  • 安全なパスワードの生成
    英数字や記号の組み合せ、桁数を指定し、ランダムなパスワードを生成する。

対象となるアプリケーションによる分類[編集]

パスワードマネージャは、管理する対象のアプリケーションによって主に2種類に分類される。

Webブラウザオートコンプリート機能も、パスワードに限らず、Webアプリケーションにおける入力項目を記憶し、次回入力時に自動入力、ないし補完してくれる機能であり、パスワードマネージャに近い。ただし、オートコンプリート機能はHTML側でオートコンプリートを無効にする設定がされていた場合には使えないなど、パスワードマネージャーの機能としては不完全である。

パスワードマネージャーの利点とリスク[編集]

パスワードマネージャーを用いる利点としては、次のようなものが挙げられる。

  • 利用者が個別のパスワードを覚える必要がなくなる
  • 覚える必要がないので、安全なパスワードを設定できる
  • 個々のパスワードは覚えなければ、利用者からパスワードが漏洩する危険が減る
  • パスワード入力の手間が省ける
  • アプリケーションがパスワードを安全に管理してくれるため、利用者が気を使う必要がない
  • クラウド上にパスワードが管理されている場合、どこからでもマネージャー機能を使うことができる
  • 自動入力を使っている場合、キーロガーにパスワードを窃取される危険が減る

一方、パスワードマネージャーの利用については次に挙げるようなリスクも存在する。

  • マスターパスワードが漏洩すると危険である
    多くのパスワードマネージャは、保管しているパスワードへのアクセスを制限するために、パスワードマネージャーにパスワード(マスターパスワードと呼ばれる)認証を設けている。しかし、このマスターパスワードが弱いなどの原因で第三者に漏洩してしまうと、パスワードマネージャーが保管しているすべてのパスワードが漏洩の危険にさらされてしまう。マスターパスワードは敗られにくい強いパスワードにした上で、どこかにメモするなどの安全でない保管手段は避けるべきである。
  • 安全でない保管がされている場合、または脆弱性により複数のパスワードが漏洩する危険がある
  • 何らかの原因によりマネージャーの保管データが失われてしまった場合、または利用者がマスターパスワードを忘れるなどして保管データにアクセスできなくなってしまった場合、利用者が個別のアプリケーションにアクセスできなくなる
  • 第三者が利用者のコンピュータを操作することにより、保管しているパスワードが参照される危険がある
    多くのパスワードマネージャは、個別のパスワードへのアクセスに毎回マスターパスワードの認証を求めない。このため、利用者が離席中に第三者がコンピュータを操作することで、パスワードが漏洩する危険がある。
  • アプリケーション管理者が利用者のパスワードを参照したり、悪用する可能性がある
    特に、クラウドで管理している場合は、パスワードマネージャの管理者が信頼できるかどうか見極めが必要になる。

脚注[編集]

  1. ^ IPA 独立行政法人情報処理推進機構 コンピュータウイルス・不正アクセスの届出状況(6月分および上半期)について参照

関連項目[編集]