はみだしぶろぐ

YouTubeVlog『はみだしチャンネル』公式Blog

私のパスワード管理術。無料サービスの組み合わせで実現する強固なセキュリティ。Bitwardenと2段階認証の紹介。

f:id:tinger02:20220210202333p:plain

はみだしぶろぐ&はみだしチャンネルの管理人Ogawa(@hamidasiblog)です。

私のパスワード管理術。
無料サービスの組み合わせで実現する強固なセキュリティ。
Bitwardenと2段階認証の紹介。

今回は #ITマニア 歴25年の私が実践している、パスワード管理術についてお話しします。
なお、YouTubeにおいても、同様の内容で解説している動画がありますので、よろしければそちらもご覧ください。


結論

  • パスワード管理サービス Bitwarden を利用する。
  • Microsoft社製 2段階認証アプリ(Microsoft Authenticator)をiPhone・スマートフォンで利用する。
  • iPhone・スマートフォンには、FaceIDや指紋認証等の生体認証・パスコードの設定をする。

bitwarden.com

www.microsoft.com

既存のパスワード管理でおこりがちな問題点

パスワード管理のよくある悩み

  • ついつい、同じパスワードを使ってしまう。
  • 誕生日や、銀行ATMの暗証番号等を使ってしまう。

セキュリティ上よくないとは、みんな思っているけど、面倒なので・・・

外出先の店舗や、友達からの紹介、職場で新たなサービスへの登録 などなど
パスワード登録に時間があまりかけれないシチュエーションで、そうなりがち。

僕が実践している指針について

パスワード管理の指針

  1. パスワードは、数字・大文字・小文字・記号のランダムで形成されている。
  2. 各アカウントで別々のパスワードを設定する(同一のパスワードを使い回さない)。

パスワード管理サービスを利用すると、楽に実現することができる。

iCloudキーチェーンについて

iPhoneにおいては、iCloudキーチェーンというパスワード管理機能は標準で搭載されている。
設定⇨iCloudでキーチェーンをオンにすると使える。

support.apple.com

iPhoneのパスワード管理機能、iCloudキーチャーンの不満点

①パスワードが自動生成されるが、登録するサイトのルールにあわず、登録できないことがある。
特に記号についてのルールがサイトによって異なることが多い

②iPhoneが自動生成したパスワードを入力した後、再度ログインしようと思っても、パスワードが出てこないことがある。
⇨どのパスワードを登録したのかわからず、途方にくれる

Bitwardenの優位点・気に入っている所!

①パスワード生成・登録機能

パスワード生成ツール
・登録するサイトのルールを確認した上で、パスワードを生成。

 

f:id:tinger02:20220210105255p:plain

  実際のパスワード生成画面

・短期間のパスワード履歴機能がある

f:id:tinger02:20220210105950p:plain
  パスワードの履歴画面

Bitwardenには、登録したパスワード情報をきちんと記録するまでの間、配慮がある。

②フィッシングサイトを回避
Bitwardenは、パスワードと正規サイトのアドレス「URI」と関連づけて登録する。
⇨人の目の錯覚を悪用したフィッシングサイトを回避できる。

例)スマホのSMS等でくる、偽サイトのログインは、URLが正しくないため、間違ってログインすることはなくなる。

Bitwardenについて

  • アメリカ(カリフォルニア州)のサービス
  • 開発元「8bit Solutions LLC」
  • 2016年にリリース。パスワード管理サービスとしては後発。

  • オープンソース
  • クラウド同期
  • マルチプラットフォーム (iOS、Mac、Android、Windows、Linux、ChromeOS)
  • 無料サービス。年額約10ドルの有料プランもある。

登録・管理するものは

  • アカウント(メールアドレス)
  • マスターパスワード
  • 2段階認証に対応

個人的には「LastPass 無料会員の改悪」(202136日~)
その発表があったタイミングで、他のサービスを比較し、Bitwardenに移行した。
1年ほど使用してきて、非常に満足している。

競合サービス

等がある

1password.com

 

私の管理方法

Bitwardenと各種ブラウザのクラウド同期を併用する。

・ブラウザのパスワード記録機能・クラウド同期は積極的に使う。
SafariiCloudキーチェーン)、Google ChromeMicrosoft EdgeFirefox
・ブラウザのログインには2段階認証を設定する。

ブラウザのクラウド同期には利点として、過去に流出したセキュリティに問題がある、古く短いパスワードを警告する機能がある。
Bitwardenの導入後、問題があるパスワードを1つずつ、新たに生成したパスワードで更新していく作業をすることをおすすめします。

具体例① iPhoneSafari

設定⇨パスワード⇨パスワードを自動入力
iCloud キーチェーン ☑️
Bitwarden ☑️
この2つにチェック

f:id:tinger02:20220210210910p:plain


・Cloudキーチェーンに登録情報がないものは、Bitwardenを用い、
パスワード入力⇨ICloudキーチェーンのパスワード情報を更新する。

・すでに登録してあるサイトのパスワードは iCloud を用いる

具体例② PCMacのブラウザ

・ブラウザにはBitwardenの拡張機能はインストール
・パスワードの新規登録・変更の時にBitwardenを使用し、Bitwardenに正しい情報を登録することを最重視する。
・ブラウザのクラウド同期のパスワード情報がないものは、Bitwardenを用い、パスワード入力とともに、パスワード情報を更新する。

アプリや拡張機能に関して

PCやMac等を新規でセットアップする場合、最初に入れるアプリはBitwarden

・各ブラウザに拡張機能をインストール(クラウドの同期ON
PINでロック解除 を有効にして使っている
「ブラウザー再起動時にマスターパスワードでロック」 の☑️を外す

f:id:tinger02:20220210105535p:plain

ブラウザ拡張 PINの設定画面

2段階認証 (TWO-STEP LOGIN)について

2段階認証の解説

段階認証プロセス(2要素認証プロセスとも呼ばれます)は、アカウントのセキュリティを強化するもので、アカウントへのログインは、次のものを使って 2 段階で行うことになります。

・自分が把握している情報(パスワードなど)
・自分が持っているもの(お使いのスマートフォンなど)

より詳しく分類すると
・知識要素 (パスワード、暗証番号、合言葉)
・所有要素 (スマートフォン、SMS認証、アプリによる認証、2段階認証アプリ)
・生体要素 (指紋、顔(FaceID)、)

詳しい解説は下記の記事参照

二要素認証と二段階認証の違いを理解していますか?

https://eset-info.canon-its.jp/malware_info/special/detail/210311.html

eset-info.canon-its.jp

 

・サイトやサービス・アプリによって2段階認証のやり方は異なる。
・2段階認証が設定できるサービスは、常に設定することを心がける。

2段階認証アプリについて

段階認証アプリ(6桁の数字が30秒間で変化、コードジェネレータータイプ)
については、同一機能のアプリが複数ある。

Microsoft Authenticator
Google Authenticator
Authy

www.microsoft.com

Google Authenticator

Google Authenticator

  • Google LLC
  • ユーティリティ
  • 無料

apps.apple.com

authy.com



アプリの登録画面で、QRコードを読み込むと、コードが追加される仕組み

私個人は、Microsoft Authenticatorをおすすめしている
Mcrosostアカウントにログインするとき、パスワードレスになる。
・シンプルで、見やすい。
・色が青を基調としていて、Bitwardenも青。セットで統一感あり。
・好みで選べばよい。

docs.microsoft.com

結論

・パスワード管理サービス Bitwarden を利用する。
Microsoft社製 2段階認証(Microsoft Authenticator)をiPhone・スマートフォンで利用する。
iPhone・スマートフォンには、FaceIDや指紋認証等の生体認証・パスコードの設定をする。

・パスワード生成ツールで形成された、強固なパスワードを、各アカウントで別々にパスワードを設定する(同一のパスワードを使い回さない)。
・フィッシングサイトの回避を実現。
・2段階認証とiPhone、スマートフォンの生体認証で強固なセキュリティを実現する。


設定さえしっかりできれば、無料で実現できます。
パスワード管理で悩んでいる人が減ったり、セキュリティが向上する人が少しでも増えることを、願っております。

今日の話は以上です。

YouTubeでは、いいね・高評価・チャンネル登録
ブログは「はてなブログ」を使用しています。
「はてなブックマーク」をしてくれると喜びます。

それでは