2022年05月16日

【WEBサービス】パスワード管理整理しました

こんにちは。

WEBサイト等のパスワード管理はLastPassというサービスを使っていました。
PCのChromeブラウザ拡張機能も提供されていますしモバイルアプリもあります。

いえ、少し嘘をつきました。
LastPassをベースにしつつも、GoogleパスワードマネージャもiCloudキーチェーンも無節操に使っていました。
おかげで実際はキッチリと管理できていたわけじゃなく、自動ログインが出来ればどこのパスワードがどのサービスに保存されているかなんて全然気にしてなかったんです。
しかもパスワードはだいたい使い回し。一番NGなやつですよね。

そんなある日、最もヤバい事態が発生します。そうですパスワード漏洩です。
実害があったわけではないのですが、使い回していたパスワードがどこかのサービスから漏れ出し、LastPassがしきりに警告してくるようになりました。
事態が悪い方向に動きだしたことで、ようやく重い腰を上げてパスワード管理に真面目に向き合う気になりました。
さきほども書いたとおり、現在パスワード管理は以下の仕組みをごちゃごちゃに使っています。
  • LastPass
  • Googleパスワードマネージャ
  • iCloudキーチェーン
これを一元化し、さらにパスワードの使い回しはやめてこれらサービスが提供する自動生成機能に任せようと考えました。


■LastPass

ベースにしていたLastPassをそのまま正とするつもりだったのですが、無償アカウントには大きな制限があります。
登録デバイスタイプは「コンピュータ」「モバイル」のどちらか一択
つまりPCのChromeブラウザで使っている場合、iOSデバイスのブラウザやアプリでは使えないのです。
これがLastPassとiCloudキーチェーンの多重管理の原因でした。
というわけで、今回を機にLastPassには見切りを付け一元化の候補から外しました。


■iCloudキーチェーン

現在私は3台のiOSデバイスと1台のWindowsPCを使っています。
今回のミッションはこれらすべてでパスワード情報は共有するということです。
iCloudキーチェーンをベースにしてしまうとWinPCで使えないじゃん!ということでこちらも候補から外しかけていたのですが、調べてみると実は可能らしいとの情報。
WinPCにiCloud for Windowsをインストールし、さらにChromeブラウザに「iCloudパスワード」拡張機能をインストールすればOK。
しかしこのリンク先記事を読み進めてみると・・・
ブラウザーを立ち上げ直すたびに、6桁の確認コードを入力して拡張機能を有効にしなければならないことを覚えておきましょう。
うっわ面倒くせえ。止め止め。


■Googleパスワードマネージャ

逆にGoogleアカウントに保存されたパスワード情報はiOSデバイスで使えるのでしょうか?
スマホのChromeブラウザなどのGoogle関連アプリであれば話は分かります。
しかしGoogleに関係ないアプリではどうでしょう?実はこちらも普通に使えるんですね。
いやいやパスワード管理に対する意識が低すぎてiOSデバイスにこんな便利機能があるとは知らなんだ。
こちらも使う度にまず認証が必要になりますが、FaceIDやTouchIDでOKなので毎回6桁の確認コードを入力するより遥かに楽です。
よし、じゃあGoogleパスワードマネージャに一元化しよう。


■Googleさんすごいね、でも・・・

次にやったことは、LastPass・Googleパスワードマネージャ・iCloudキーチェーンに散在していたすべてのパスワード情報の棚卸しです。
幸い多くのエントリはLastPassに集中してましたし簡単にエクスポート出来ます。
Googleパスワードマネージャも然り、エクスポートもインポートも出来ます。
iCloudキーチェーンにはどうやらエクスポート機能が無いようです。
もともとエントリ数も少なったし、LastPassのエントリと被りまくりだったので今回は問題なし。

こうして散在していた情報をすべてまとめ、せっかくなので断捨離。
うん、全然覚えてないサイトのパスワード情報とかありましたわ。そうしたエントリを削除しつつ、それでも約50件残りました。
これらをCSVファイルとして保存し、パスワード保存情報をまっさらにクリアしたGoogleアカウントにインポートします。

LastPassも警告がすごかったですが、Google先生の警告もすごいや・・・。
やれ漏洩しているだの、やれ使い回しやめろだの、やれ脆弱だから強化しろだの。
これまでがいい加減すぎたツケが一気に回ってきた気がします。
その反省のための試練と考えつつ、パスワードを1つ1つ自動生成に置き換えていきます。そう、約50件。ちょっとした苦行でした。
中にはGoogle先生がパスワード変更フォームであると検出できないサイトもあり、自動生成ボタンが使えなかったり。

そんな苦行を克服し、パスワード管理をすっきり一元化出来ました。


■愚痴

東京都水道局サイトは500日以上利用しなかった場合勝手にIDが無効化されるらしい。めんどくさ。
そういえば数年前にクレカ更新したときも同じ目に遭いました。
再度、新規登録しろとのことで仮パスワードがハガキで郵送されてくるそうです。
今度は499日ごとにログインするようリマインダー仕込んでおきます。

最近はパスワードを簡単に変更させてくれないサービスも増えましたね。
不正ログインされた場合を考慮すればそれはそれで安心なんですが、ヘルプページの奥の奥の奥に変更手順が隠すように書いてあったり。
一部のサイトは問い合わせ窓口すら隠蔽してる気がします。
そりゃカスタマー対応はコストの高い業務ではありますが「黙って使え。質問はするな」と言われてるようで気分悪いっす。

GoogleアカウントやAppleID, Yahoo, Facebook, LINEのIDを使ってログインするサービスも増えました。
正直どうなんでしょう?どれも堅牢なアカウントですが、1個突破されたらそれらサービスも危うくなるんじゃ?
積極的に使っていくべきなのか判断しかねているので、私の原則はそれぞれ別のID/パスワードにしています。
そして2ファクタ認証を利用できるものは積極的に設定しています。


■後記@

最近この記事にアクセスが多いです。
皆さんパスワード管理にちゃんと意識があって関心が高いのかな?と、意識低かったという主旨のこの記事でお目汚ししてしまって申し訳ない気持ちでいっぱいです。

改めて自分でも読み返してみたんですけど、iOSデバイスでもWindowsPCでも使えるようにという利便性を優先しちゃっていて、果たして本当に安全なのか?と疑問が湧いてきました。
LastPassはPCかモバイルかどちらかでしか使えませんが、どうせいつでも手元にあるはずのモバイルだけで運用することで漏洩機会を減らすという考え方も成立するなーとか、でも失くしたり盗難に遭うとしたらモバイルのほうが圧倒的に可能性高いよなーとか。

利便性と安全性を両立させるのは難しい問題だと思いますが、そのバランス感覚は常に保ち続けたほうがよろしいんでしょうね。
私もより良い運用を常に模索し続けていきたいと思います。


■後記A

2022年6月7日、Appleのイベント「WWDC22」で気になる話題が出てきましたね。
Androidスマホでは既に実現している機能ですが、それのApple版ということですかね。
機能の後追いといえば聞こえは悪いですが、iPhoneでもそれが可能になるということは素直に歓迎したいところです。
当記事ではiCloudキーチェーンの利用を「面倒くせえ」という理由で見送りました。
それが緩和されるのであれば、大いに再考の余地ありです。




.



posted by Huwy at 00:31 | Comment(0) | TrackBack(0) | WEBサービス | このブログの読者になる | 更新情報をチェックする