クラウドを安全に使いこなすためのパスワード設定と管理を安全に簡易化するLastPass
2013年2月23日 19:30
最近ちょっとパスワード管理の話が盛り上がっているみたいなので、自分もクラウドを安全に使いこなすためのパスワード設定と管理を安全に簡易化するLastPassについて書いてみます。
■強力なパスワードを設定
パスワードの文字数が短かったり、文字種が少ないと、不正アクセスの危険性は高くなります。一定の安全性を確保するために、以下の条件を満たす強力なパスワードの設定を推奨します。
・文字数は32文字(設定可能な文字数がそれを下回る場合は、設定可能な文字数の上限)
・英字の大文字と小文字、数字、記号をそれぞれ1文字以上含める
■二要素認証の利用
Googleのサービスなど二要素認証が可能なシステムにおいては、安全性が格段に高まるので二要素認証を使いましょう。
■パスワードは使い回さず、必ずサービスごとに個別に設定
パスワードを使い回すと、何らかのサービスでパスワードが流出した場合に、他のサービスでも被害が発生する可能性があるため、面倒でも必ずサービスごとに個別のパスワードを設定しましょう。
■パスワード管理を簡易化する手段
サービスごとに個別のパスワードを設定した場合、セキュリティ性はかなり高くなりますが、逆に利便性は低くなります。
これを解決する手段として、一つは指紋認証などの生体認証を使ってパスワード入力の手間を省くという方法があります。
Lenovo ThinkPadなどはオプションで1,000円くらいで指紋認証デバイスを追加できるので、追加しておくと便利です。PCに生体認証機能が搭載されていない場合は、USB接続の生体認証デバイスを後から追加することができます。
もう一つの方法としては、パスワードをアプリケーションに登録して入力を自動化するパスワードマネージャを利用するという方法があり、その中でも自分も使っている無料のクラウドサービス「LastPass」(http://lastpass.com)を推奨します。
LastPassの基本的な使い方は、他にも紹介しているブログがたくさんありますので、ここでの説明は省略します。ここでは他であまり記載されていない情報、「クラウドにパスワードを保存して大丈夫なのか」という懸念を持たれる方も多いと思いますので、特にその点にフォーカスして、LastPassの特長を紹介します。
■強力なパスワードを自動生成できる
LastPassは、パスワードの登録と自動入力だけでなく、先ほど紹介した「強力なパスワード」の条件を満たしたパスワードを自動的に生成する機能があります。すごく便利です。
■Google AuthenticatorやUSBキーによる二要素認証で保護できる
LastPassはいくつかの二要素認証に対応していて、最近Gmailがハックされる事件もあって利用者が増え始めている Google Authenticator を利用することもできます。自分もGoogleのサービスで Google Authenticator を使っているので、これにしました。有料版だとYubiKeyも使えますが、Google Authenticatorで十分です。
■サービスにアクセスできる国を限定できるのと、Torネットワークからのアクセスを遮断できる
日本にしかいないのであれば、サービスにアクセスできる国を日本のみに限定できます。自分の場合も普段は日本のみにしてあって、海外に行く時だけその国を出国前に設定するようにしています。
また、最近話題になった遠隔操作ウイルスの犯人が使ってたりとネット犯罪でよく利用される匿名通信システム「Tor」からのアクセスを遮断することができます。
この二点は、国内サイトで他に説明されてるのを見たことがないのですが、LastPassを使う上でものすごく重要なポイントなので、知っておいて頂ければと思います。
あと、セキュリティと言えば、以前書いたこの記事もすごく重要なので、ぜひ読んで頂ければと思います。
SSDのデータは完全消去できないので、譲渡・売却するなら使用前の暗号化が必要
http://www.smart-hacks.com/2012/07/ssd.html