多くの人は、「マスターパスワード」といったら、ユーザーのパスワードマネージャーを解除する「マスターキー」を思い浮かべますが、従来のパスワードマネージャーに取って代わることを目的とした技術である、Maarten Billemont の 「Master Password アルゴリズム(算法)」というのもあります。
そこで本記事では、両者の概念、パスワードマネージャーが必要な理由、サイバー犯罪から認証情報を保護する方法についてお話します。
TeamPassword は、従業員、フリーランス、クライアント、業務委託先と認証情報を共有するための安全なパスワードマネージャーです。14日間の無料トライアルにサインアップして、サイバー攻撃から会社の認証情報を守りましょう。
マスターパスワードとは
マスターパスワードは、複数のアカウントやプラットフォームへの窓口として機能する単一のパスワードであり、『マスターパスワード』という用語は、大体パスワードマネージャーのコンテクストで使用されます。
パスワードマネージャーを使っている場合、基本的には、パスワードマネージャーにログインするために、認証情報を1組(マスターパスワード)だけ覚えていればいいことになります。
例えば、TeamPasswordは認証情報を保存し(Chromeや他のブラウザでパスワードを保存するのと同じように)、ブラウザ拡張機能(Chrome、Firefox、Safari)を使ってアカウントにログインします。
マスターパスワードを使って TeamPassword にログインしたら、あとはパスワードマネージャーが管理をしてくれます。認証情報を覚えておく必要はありません。
安全なマスターパスワードを作成する方法
強力なパスワードを作成する最も簡単な方法は、パスワード生成機の使用です。14文字以上のランダムな大文字と小文字、数字、特殊記号を使い、そのパスワードは絶対に使い回さないようにしましょう。
ただし、パスワードを覚えておく必要がある場合は、パスフレーズ(文章をスペース無しで一つの単語のようにしたもの)を作成することを検討してください。面白くて印象的なイメージを生み出すような単語の並びや、作成する製品に関連したものを使いましょう。
良い例:
- frog-yellowish-stranger-Timestamp
文字数が少ないとはいえ、33文字と非常に強力なパスワードとなっています。さらに、ダッシュ記号と大文字が1つありますね。
悪い例:
- the-windmills-of-your-mind
曲の歌詞や有名な名言、意味のあるフレーズは避けましょう。
詳しくは、「How to Make a Strong Password(強力なパスワードの作り方)」についての記事をご覧ください。
Master Password アルゴリズムとは
Maarten Billemont は、従来のパスワード管理ツールに代わるものとして、2012年に 「Master Password アルゴリズム」を設計しました。これはパスワード保存ではなく、ログインする度にユーザーの認証情報を再作成するものです。
Master Password の背景には、「認証情報が保存されていなければ、犯罪者にネットワークやデバイスをハッキングされてもパスワードが盗まれることはない」という考えがあります。
また、Master Password が有効に機能するには、デバイスやブラウザのパスワード保存機能をオフにする必要があるので、認証情報はどこにも保存されないということになります。
ただ、Master Password は現在オーバーホール(分解点検/修理)を行っており、現時点で βテスト中の改訂版(Spectre)に切り替わる予定であることに注意が必要です。
Master Password アルゴリズムの仕組み
Master Password アルゴリズムは、電卓の仕組みと少し似ています。名前、マスターパスワード、ログインしているサイト/アプリなどの一連のパラメータを入力すると、Master Password がパスワードを算出します。
また、Master Password のアプリは、デフォルトで1から始まるカウンターも備えており、このカウンターによって、パスワードを変更することができます。そしてパスワードを変更するたびに、カウンターは1ずつ増加します。
例えば、Instagram のパスワードを作成した場合、Instagram のパスワードをリセットすると、初期カウンターは1になり、カウンターは2に変わります。
そのパスワードをログインフォームのパスワード欄にコピー&ペーストすれば完了です!なお、パスワードの作成とアカウントへのログインも同じ手順です。
パスワード算出のために覚えるべきパラメータは、マスターパスワードだけです。自分の名前は誰でも知っているはずですし、アカウントはアドレスバーやアプリのヘッダーに表示されるので容易に覚えることができます。
Master Password アルゴリズムの例
ここでは、Master Password アルゴリズムを使って、John Doe さんの Facebook アカウントを作成またはログインする例をご紹介します。
- 氏名:John Doe
- マスターパスワード:secret password phrase
- アカウント:facebook.com
- カウンター:1
この3つのパラメータを入力して、Master Password アプリが『tX0!tX7~qZ3!vO』というパスワードを作成します。同じパラメータを入力するたびに、Master Password はまったく同じパスワードを以下のように作成します。
John Doe x secret password phrase x facebook.com x 1 = tX0!tX7~qZ3!vO
パスワードを保存するのではなく、Master Password は入力したパラメータに基づいて結果を計算します。マスターパスワードは常に同じままであり、名前とアカウントのパラメータだけが変化します。
また、パスワード変更が必要な場合、カウンターを1増やすと、Master Password が新しいユニークなパスワードを以下のように作成します。
同じ Facebook アカウントでのパスワード変更例:
- 氏名:John Doe
- マスターパスワード:secret password phrase
- アカウント:facebook.com
- カウンター:2
John Doe x secret password phrase x facebook.com x 2 = hS7}oD3:pO8^uI
次回以降のログインでは、カウンタが1ではなく2であることを忘れないようにしなければなりません。このカウンターというのが Master Password の最大の欠点です!アカウントを数多く持っている人にとって、それぞれのアカウントで現在のカウンターを覚えておくのは難しいことです。
例えば、Twitter のアカウントは4、Facebook は7、Instagram は1、LinkedIn は3といった感じです。カウンターの管理は大変なことで、混乱を招く恐れがあります。
Master Password のコミュニティで、あるユーザーがこの質問をしたところ、「失われたデフォルト以外のカウンターを回復するには、カウンターを1増やして、成功するまでサイト上のパスワードを試すだけです」という回答をもらいました。
ただこの解決策には、ほとんどの Web サイトやアプリケーションではブルートフォース攻撃対策として、一定回数のログイン試行失敗後にアカウントをブロックしてしまうという問題点があります。
Master Password アルゴリズムを適用するアプリ
Maarten Billemont は、Master Password アルゴリズムを GPLv3ライセンス(オープンソース・ソフトウエア向けのライセンス方式)のもとで無料にしました。つまり、誰でもコードの実行や研究、共有および修正ができるのです。ということは、多くの個人や企業が個人的にこの技術を利用している可能性があるということです。
市販のMaster Password アルゴリズムのアプリは以下の2種類です:
- Master Password
- Spectre
Master Password アルゴリズムの長所と短所および対象者
長所
- デバイスの紛失や盗難の場合を含め、犯罪者にデバイスからアカウント情報を盗まれる可能性がない
- マスターパスワードしか必要ない
- 誰でもMaster Password アプリの開発ができるように、コードの使用が無料
- アカウントごとにユニークなパスワードを作成できる
短所
- Master Password は個人用としてしか使えず、同僚と認証情報を共有する術がない。
- パスワードの呼び出しに時間がかかる:Master Password を別途開いてパラメータを入力し、パスワードをコピー&ペーストする必要がある。
- パスワード変更は、カウンター変更ということになる。アカウントを多数持っている場合(ほとんどの人が当てはまると思います)、それぞれのアカウントのカウンターを覚えておく必要があり、アカウントが全部違うカウンターにある場合、非常に混乱する可能性がある。唯一の解決策は、パスワードリセットだが、それにより覚えないといけないカウンターがまた増えるという結果になる。
- もし、スピアフィッシングや詐欺などでマスターパスワードを盗まれた場合、Master Password をダウンロードしてパスワードを計算されかねない。
このような長所と短所を考慮すると、Master Password に基づくアプリの使用は、個人的な使用や同じ認証情報を共有しない企業にとっては便利だと言えるでしょう。
それでも、Master Password のカウンターの欠点は、自分がどのカウンターにいるのかの把握や、パスワードリセットに時間がかかってしまうということにつながる問題を引き起こす可能性があります。
TeamPassword:より優れたパスワード管理ソリューション
TeamPasswordは、チームで安全に認証情報を共有するための強固なパスワード管理ソリューションです。パスワードは、お使いのコンピュータ上でハッシュ化、塩漬け、暗号化され、暗号化された接続を介して TeamPassword のサーバーに送信されます。
このパスワード保存法は、不正共有防止のためにパスワードの閲覧ができず、TeamPassword でも認証情報の取得はできません。
また、TeamPassword は、複数のセキュリティ認定を受けた安全なホスティングプロバイダーであり、最先端の暗号化技術を使用しています。
安全で簡単な認証情報の共有
Master Password とは異なり、TeamPasswordでは従業員、フリーランサー、クライアントと認証情報を共有することができます。
以下は、TeamPassword でパスワードを簡単に共有する方法です:
- ビジネス用の TeamPassword アカウントを作成する(14日間の無料トライアル有り)。
- TeamPassword にパスワードを追加する。TeamPassword に移行する際には、内蔵された安全なパスワード生成機を使ったパスワードリセットをお勧めします。
- 各チームメンバーに TeamPassword のログインを提供する。
- 様々なアカウントにグループを作成し、アクセスが必要なメンバーだけを追加する。例えば、「SNSグループ」にはすべてのSNS アカウントを登録し、SNSまたはマーケティングチームのみがアクセスできるようにする。
- 必要なくなったら、ワンクリックでチームメンバーのアクセス権を取り消す。退社時のパスワード変更は不要。
パスワード変更が必要な場合、内蔵のパスワード生成機を使うだけで、TeamPassword は全ユーザーに対して新しい認証情報を自動的に更新します。自ら新しいパスワードを周りに知らせたり、共有したりする必要はありません。
データ侵害を防ぐための機能
各チームメンバーは、TeamPassword のアカウントを2FA(2要素認証)で保護することができます(当社では iOS と Android で利用できる Google Authenticatorを使用しています)。
2FAでは、攻撃者がチームメンバーの TeamPassword の認証情報を盗んだとしても、2回目の認証ステップを経ないとログインできません。
万が一、TeamPassword のアカウントに侵入されたとしても、攻撃者は保存されている認証情報の閲覧やエクスポートはできません。
TeamPassword のアクティビティを記録する
また、Master Password に欠けている機能として、アクティビティの追跡とメール通知があります。これは不審な動きに素早く対応するのに不可欠です!
TeamPassword のアクティビティログでは、ログイン、共有、パスワードリセット、新しいチームメンバーなど、すべてのアクションが記録されます。また、TeamPassword のアクションをメールで通知するように設定することで、即座にアラートを出すことができます。
その他の Master Password の代替案
TeamPasswordでは、最も安全でユーザーに優しいパスワードマネージャを提供していることに自信を持っているので、競合他社をいくつか紹介してみんなで高め合っても何の支障もないと思っています。
- 1Password:個人レベルで使うには効果的なパスワード管理ソリューション。企業やチームレベルで使うには機能が不足している。
- LastPass :個人レベルで使うには効果的なもう一つのパスワードマネージャー。あまりユーザーに寄り沿った感じではなく、テックに詳しくない場合は習得しづらい可能性がある。
- DashLane:個人や家族で使うのに最も人気のあるパスワードマネージャの1つで、最も高価なものの1つでもある。各有料プランには制限があり、アカウントやパスワードの増加に伴いアップグレードを余儀なくされる。
ちなみに TeamPasswordは、保存できるパスワードやアカウントの数に制限はありません!
TeamPasswordを無料でお試し
必要なマスターパスワードは、TeamPassword アカウントのものだけです!
TeamPassword のグループと共有機能をチームメンバーでお試しになり、安全なパスワード共有の利便性をぜひご体験ください。14日間の無料トライアルのサインアップはこちら。
