パスワードマネージャの利用を如何に受け入れてもらうか
ソフトウェア関連産業に身を置く人物は、周囲の人々にとって多かれ少なかれ "パソコンの大先生" となりがちだ。情報機器が不調な時や新調を考えている時などに、その解消方法を相談されたり、他機器への移行作業について求められたりという経験が一度はあるだろう。
これを承諾した時、近年特に悩まされることとなりがちなのがデジタルアイデンティティとそのクレデンシャル情報復旧だ。
現代的なOSの多くは、そのベンダが提供するデジタルディストリビューションプラットフォームを中心としたエコシステムの一部として設計されており、最大限に活用するには(あるいは最小限の活用を実現することですら)当該プラットフォームの利用者アカウントを発行することが必要不可欠である。
そのアカウントにより利用可能となるサービスは多岐に渡り、金銭を伴うデジタルコンテンツの購入をしなくとも、たとえばEメールの利用、たとえばクラウドストレージの利用などへ広がっていく。仮に当事者がその存在を認知できなくとも、透過的に利用できる故気付かぬ内に重要なデジタル資産へと成長していく。
あるいはいざ利用していた情報機器のデータ復旧を試みる際、復号する為にアカウントによる再認証を要求されることも珍しくない。
OSベンダ製プラットフォームのアカウントだけではなく、生活に溶け込んだデジタルアイデンティティは多数存在する。ソーシャルメディアは様々なサービスの入口となっていたり、それ自体が多くの機能を提供していることがある。これらへのアクセス権を喪失することは、インターネット上で自身を証明する手段を失うこととほぼ同義と言える程のものもありながら、その認証手続がどのように行われているかを日常的に意識させる場面は必ずしも多くはない。
"パソコンの大先生" たる我々にとって、自身が日常的に利用する機能が何たるSaaSであるか、それが如何にして利用者のアイデンティティを保証しているか、あるいはSaaSにとって自身がどのように認識されているか、どのようにしてそれを認識させるか、などを一切把握していない状況というのは想像を絶する。が、現実はそうではない。
一人称的視点からすれば自身が他者に替わることはなく、一貫して同一性は保たれる。一挙手一投足毎に自身の同一性を自ら表明し、それがただ一つの手段により担保されいて、喪失すれば全くの別人と認識される、という方が現実社会の営みから大いに乖離していると言われて然るべきだ。
公衆は必ずしも技術や安全に対するリスペクトを欠いているわけではなく、その知識的格差から自身の持ち合わせる経験より導いた常識を行使しているに過ぎない。その常識から外れた概念を提示されれば無邪気に拒絶するのは当然である。
とはいえこれを裏返せば、そのようなエコシステムを活用し、それが活用される社会へ参画したいと考えるならば、ある程度はそういった概念へ馴染んでいく必要がクライアントにもあるだろう。そして我々は、クライアント、ひいては公衆に対する通常の道徳として、多様性の尊重と、真実に基づいた説明と誠実な履行をする責任があることを改めて認識し、安全や利益の損なわれない解決を提案しなければならない。技術者に求められる資質そのものだ。
パスワードマネージャの必要性
ある程度ソフトウェア関連産業に関わっていれば、現代のセキュリティ対策において所謂 "パスワードマネージャ" に相当するアプリケーションの利用は必要不可欠であるというのは常識だろう。事実、本邦では各政府機関からも利用が推奨されている。
せっかく安全なパスワードを設定しても、パスワードが他人に漏れてしまえば意味がありません。以下が、パスワードの保管に関して特に留意が必要です。
- パスワードは、同僚等の第三者に教えずに、秘密にすること
- パスワードを電子メールでやりとりしないこと
- パスワードのメモをディスプレイなど他人の目に触れる場所に貼ったりしないこと
- やむを得ずパスワードをメモなどで記載した場合は、鍵のかかる机や金庫など安全な方法で保管すること
なお、各サービスごとに異なる充分に安全なパスワードを覚えておくのは大変なので、パスワードを覚える必要のない、パスワード管理ツールを使うことも推奨されます。
「パスワード管理アプリ」の導入
上記のような高度なセキュリティ対策を行っていないサイトの場合には、個々人が1つ1つID・パスワードを管理していく必要があります。
「パスワード管理アプリ」を利用すると、様々なメリットがあります。
たくさんのID・パスワードを全て覚えなくても、「パスワード管理アプリ」のマスターパスワード1つで、全てのID・パスワードが管理できるようになります。
本書では、「スマホ用のパスワード管理アプリ」か「物理的な紙のノート」の利用を推奨します。
スマホのパスワード管理アプリを導入する場合は、ネットにデータを置く「クラウド連携(バックアップ)機能」を安易に利用せず、まずはスマホ内だけで管理する「スタンドアロン」状態で利用できるものを優先しましょう。
しかし、一歩業界から外れればこれは決して常識ではない。未だ人為的に作られた単一のパスワードをソラで覚え、あらゆる用途で流用しているケースは散見される。
さらに冒頭のようなクレデンシャル復旧の場面においては、クライアントは「パスワードを忘れた」「アカウントを持っているかすら知らない」と述べることは珍しくない。
冒頭のとおりデータやアイデンティティの価値は年々高騰し続け、それに係るセキュリティ要件も日々高まっている。公衆とこの認識のギャップを埋めることは簡単ではない。クライアントからは「新しいアプリは入れたくない」「お金を払いたくない」「難しいことはしたくない」「面倒を増やしたくない」などと返るだろうが、それは単に当人にとって現時点で全く重要ではない課題であるからであって、悪意ではないのだ。
それが課題として顕在化していないクライアントに対し適切なクレデンシャル管理を求めるというのは簡単ではない。前述のような導入を拒絶する感情は、その背景を知らない場合には当然のものであり、導入をしない十分すぎる理由である。損をしない為に金銭や手間などのコストを払う、つまり保険料を支払うというのは、その未来が想像しづらいものであればある程苦痛である。
そこでまずは、導入による高い利便性や維持に係るコストの低さなど「便利で得をする」という側面のアプローチから始めてみてはどうだろうか、と考える。定型発達者であろうが非定型発達者であろうが、遅延報酬よりも即時報酬の方が決断しやすいはずだ。
要件の検討
具体的には、下記のような要件を満たすものを検討したい。
- 基本的なケースで無償、あるいは非常に安価な利用ができる
- 有償の場合、為替の影響を受けにくい円貨決済ができる
- 利用する複数の端末とプラットフォームで自動同期できる
- 日本語(母国語)で利用できる
- 運営母体がある程度大きく、持続的に利用できる可能性が高い
- TOTPの媒体として利用できる
- パスワードレス認証手段の保管先として利用できる
- OSやブラウザと統合された自動入力機能を利用できる
上記1は、NISCのハンドブックにおける記述と部分的には相反する主張を含むものではある。
パスワード管理アプリや、同様の機能を持つソフトには「クラウド連携機能」やクラウドを用いた「バックアップ機能」があり、これを利用すると複数端末でパスワード情報を共有できたり、明示的にバックアップ処理をしなくても自動でクラウド上にバックアップデータが作られたりします。
この機能を無条件で推奨しない理由は、「重要な情報が複数箇所に存在すれば、流出する可能性がその分増える」からです。1.11 パスワード情報をクラウドで保管する善し悪し - インターネットの安全・安心ハンドブックVer 5.00(令和5年1月31日)
紙のノートの場合は、原則自宅など安全な場所で保管し、持ち運ぶのは避けましょう。万一の盗難などに備え予備を用意しておくとさらに安心です。
1.12 ノートやスマホを失くした場合のリカバリ考察 - インターネットの安全・安心ハンドブックVer 5.00(令和5年1月31日)
しかしながら、今回は元々管理が杜撰な状態から一段階状態を改善することが最重要と考え、またそれに対するモチベーションが決して高くないクライアントに対し利便性の側面から提案するものだ。
管理自体がなされておらず、記憶自体も曖昧というクライアントの状況であるならば、比較的容易に思いつくであろう紙媒体での管理を今から実践するよう促すのは少々難しいのではないかと予想される。
また今回のようなリテラシーのクライアントに対し、スタンドアロンアプリのデータを定期的にバックアップさせるのは現実的ではない。
そのため、十分なリスクとその対策を説明する必要はあるが、同期機能が利用可能なものを提案したい。
また5は、その利用方法により本来実現可能な多要素認証によるセキュリティ上の堅牢性が損なわれるという意見も知られている。しかし、例えばそれはTOTPに限って言うならば一定の効果は期待できる。
In general, there is a reason why many services that offer TOTP refer to it as “two-step verification” instead of as “second factor authentication”. The security that such sites seek to gain from this is not in the second-factorness; it is in the one-timeness. In particular, many of the sites and services that offer or require two-step verification with one time passwords are doing so because many of their users have weak or reused passwords. Although that should not apply to 1Password users, there are other benefits to one time passwords as I discussed above.
特に今回想定するクライアントの場合、そもそもMFAを活用する為に複数の機器を管理したり、それを維持するよう求めるのは困難が伴う。そのため、今回はこのような利用を許容する。
提案候補
今回は下記を比較検討の対象とした。
- Google Password Manager
- Microsoft Authenticator
- 1Password
- LastPass
- Bitwarden
- Okta Personal
- Proton Pass
- Standard Notes
個々の詳細は別途後述するが、大まかに下記のような比較表となった。
| 基本利用料 | 日本語対応 | TOTP | Passwordless | 自動同期 | |
|---|---|---|---|---|---|
| Google Password Manager | 無料 | ⭕ | - | 🔺 | 🔺 |
| Microsoft Authenticator | 無料 | ⭕ | ⭕ | 🔺 | ⭕ |
| 1Password | 有料かつ外貨 | ⭕ | ⭕ | ⭕ | ⭕ |
| LastPass | 無料から | ❌ | ⭕ | ⭕ | 事実上有料 |
| Bitwarden | 無料から | ⭕ | 🔺 | ⭕ | ⭕ |
| Okta Personal | 無料 | ❌ | ❌ | ❌ | ⭕ |
| Proton Pass | 無料から | ⭕ | 🔺 | ⭕ | ⭕ |
| Standard Notes | 無料から | ❌ | 🔺 | ❌ | ⭕ |
自動入力に関しては下記のようになる。
| iOS | Android | Windows | macOS | Desktop Chrome | Desktop Safari | |
|---|---|---|---|---|---|---|
| Google Password Manager | - | ⭕ | - | - | ⭕ | - |
| Microsoft Authenticator | ⭕ | ⭕ | - | - | ⭕ | - |
| 1Password | ⭕ | ⭕ | - | 🔺 | ⭕ | ⭕ |
| LastPass | ⭕ | ⭕ | - | - | ⭕ | ⭕ |
| Passkey | ⭕ | ⭕ | - | - | ⭕ | ⭕ |
| Okta Personal | ⭕ | ⭕ | - | - | ⭕ | ⭕ |
| Proton Pass | ⭕ | ⭕ | - | 🔺 | ⭕ | ⭕ |
| Standard Notes | - | - | - | - | - | - |
Google Password Manager
Google Password Managerは、Googleアカウントを保存先として、ChromeあるいはAndroid OSで利用できる。所謂ブラウザのパスワード保管機能の延長として、Androidにおける標準のストアとして拡張されつつあるといったところだ。
その歴史から仕方のないことだが、TOTP保管機能などは存在しない。Google Authenticatorに同期機能がある為これと併用すれば良いが、現状ではAndroidとiOSへの対応のみであり、あらゆるケースを柔軟にカバーできるとは言えない。
なおPasskeyに関しては、Androidに限り同期ができるそうだ。
現状では全てを一元的に管理できるとは言い難い為、導入に際し要する説明は若干複雑になりそうだ。だがAndroidとGoogleエコシステムを中心に利用し、その他プラットフォームをほぼ利用しない場合などであれば、有力な候補となり得る。
Microsoft Authenticator
見落されがちだが、Microsoft Authenticatorもかなり多機能だ。これは当初Azure向け2FA管理用のモバイルアプリとして登場したが、現在はパスワード管理など様々な機能拡張がなされている。
iOSとAndroid向けアプリと、Chrome向け拡張機能およびEdgeのビルトイン機能として利用できる。同期先はMicrosoftアカウント。
Passkeyへの対応は、現状では限定的だ。しかし条件を満たす環境、つまりiOSのみであれば十分に利用可能と言えるだろう。
既にMicrosoftのプラットフォームと馴染みがあるクライアントに対しての提案であれば、十分に検討可能な機能を備えているであろう。
1Password
その高い品質と安価な維持費から多くの支持を得ているプロダクトといえば1Passwordだ。
無償での利用ができないことと、円貨でない故に月々の必要コストが不安定であることが唯一にして最大のネックだが、クライアントがこれらに対する抵抗さえなければ、手に馴染みやすく利便性を実感してもらいやすいだろうと考える。
ビジネスでの利用を想定した複数アカウント管理や、開発者向けのLinux対応やSSHエージェント機能なども備える為、将来に渡って活用しやすい点も推奨する理由だ。
アクセシビリティ機能経由でこそあるが、macOSにおける自動入力にも対応しているなど、精力的な機能開発も特徴的だ。
クライアントがその品質や利便性に対し敏感であり、かつ安価であるならばそれに掛かるコストへ抵抗がない場合、有力な候補として検討したい。
LastPass
LastPassは無償で利用できるプロダクトとして当初人気を博し、現在も多くの利用者を抱える。数年前までであれば、初めに使うパスワードマネージャとして確固たるデファクトスタンダードの地位があった。
しかし現在はデバイス間同期機能の事実上の有料化や度重なるセキュリティインシデントによりその信頼は揺らいでいると言わざるを得ない。
Bitwarden
近年勢いよくそのシェアを伸ばしているのがBitwardenだ。高度な機能を備えながらも非常に安価であり、さらには無償でも十分な機能が利用できる。
Bitwardenの面白い機能のひとつがSendだ。もしクライアントが機微情報の送受信にDropbox Transferなどを利用していないならば、これを機に使い始めてもらってもよいかもしれない。
コスト面で懸念事項となり得るのが無料プランの場合はTOTPの生成ができないことである。代替手段としてBitwarden Authenticatorというスタンドアロンアプリが用意されているが、この同期はiOSやAndroidのアプリバックアップ機能に依存する。
Okta Personal
IDaaSの分野において多くの実績を持つOktaが提供する個人向けパスワードマネージャ製品がOkta Personalだ。つい最近日本でも利用可能になった。
独立したパスワードマネージャアプリでありながら、現状有償のプランが存在せず完全に無料である点が特徴的だ。とはいえまだ新興であり、機能もかなり限定的である点は否めない。
機微情報の管理に対し高い信頼性を求める場合、一度検討する余地はあるのかもしれない。
Proton Pass
新興パスワードマネージャとして特に異彩を放っているのがProton Passである。Protonアカウントから利用する。
Protonはプライバシーやセキュリティに対する高い知見とその実装を特徴とする企業で、WebメールやVPNなど様々なサービスを提供しており、同時にアプリケーションとしての完成度も非常に高い。
Proton Passは無償から利用できるが、一部の機能が限定される。具体的にはTOTPの対応だ。有償のプランでは無制限に利用できる一方、無償の場合は3つのアイテムでのみにTOTP生成が制限される。なおPasskeyに関しては制限がない。
Proton Pass Free provides 2FA autofill for 3 logins, upgrade for unlimited 2FA
他に無い機能として、macOSにおいて自動入力APIと連携しているのが面白い。このカラクリは簡単で、iOS向けのProton PassアプリがmacOSでも利用でき、これが当該APIを実装している為だ。
一方でこれは決してこれは他のプロダクトに対する強いアドバンテージとはなり得ず、将来に渡って提供される保証はないとも思う。なぜならmacOS向けの正式なアプリは別途提供されており、現在のバージョンでは当該機能が無効化されているのだ。つまり意図してデスクトップ向けに自動入力機能を提供しているわけでは現状ないものと見受けられる。
高いセキュリティと先進的な機能開発がアドバンテージとなるなら、確実に検討の余地がある。
Standard Notes
今回の目的において選定される可能性は限りなく低いが、もしクライアントがクレデンシャル管理のみを行うアプリの導入を嫌う場合には一度検討してもよいのがStandard Notesだ。
Standard Notesはパスワードマネージャのジャンルで語られるプロダクトでは全くない。しかしプライバシーに対する高度な取り組みを特徴とするノートアプリであり、機微情報などの扱いにも長けている。そして面白い機能として、TOTP管理生成機能が搭載されているのだ。
Authenticator
Use Standard Notes on both desktop and mobile as your authenticator app. Authenticator stores your 2FA secrets for other services so that you never lose them again, or have to start over when you get a new device.
残念ながらこのnote typeは(ほとんどのパスワードマネージャと同様に)構造化されたアイテムとなる為、一般的なノートのように自由なフォーマットとなるような代物ではない。さらにはTOTP管理に関しては有償プランの契約が必須である。それに自動入力のような多くのパスワードマネージャに搭載されている便利な機能も当然に存在しない。
しかしながらパスワードマネージャというプロダクトに慣れること自体が大きな障壁となるクライアントが存在することも事実だ。ひとつのオプションとして頭に入れておくことは悪くないだろう。
どのような検討をするか
多くのケースにおいて有力な選択肢となるのは、
- Microsoft Authenticator
- 1Password
- Bitwarden
あたりではないかと考えられる。これらは無償ないし非常に安価でありながら、ほとんどの使用方法を満たすことができる。
あるいはコストを払うことで得られる他機能に魅力を感じる場合などで、
- Proton Pass
を検討する場合もあるかもしれない。
これらが何らかの理由で選択できない場合、
- Standard Notes
- Google Password Manager
- Okta Personal
- LastPass
などの検討を行うとよいのではないかと思う。