1Passwordが思いの他使い勝手が良かった件
ソフトウェアエンジニアにも関わらず、今までのアレな管理をようやく脱した記念に、やったこととか困ったこととか色々とメモを残しておきます。
経緯
休日出勤(その前の週の金曜日に諸々の理由で休んでしまったからですが)でひたすらコード書いて頭がぼんやりしていた土曜日の夜に、MSさんからこんなメールが届いたわけですよ。。。
お恥ずかしながらザル管理も良いところです。ぶっちゃけ色々使い回していたパスワードもありましたし。。。きよくらさんからこんなリプライもありましたが、全くその通りだと思います。
@kiyokura: @mao_instantlife このご時世、二段階認証があるところは全部二段階認証設定、パスワードは管理ツール等を使ってサービスごとに全部ユニークにしておくのを前提にした方がいかもですな。
最近FXも始めたことですし、色々とお金にまつわるアカウントもあるので、このまま放っておくのは非常にまずいというのは把握いたしました次第でございまする。
とりあえず、今年からのスタンスとして「必要なサービスにはちゃんと金を払っていく」というのがありまして、事情を話したところ嫁の稟議もあっさりおりたため、パスワードマネージャを購入することにしました。
なぜ購入にしたのか?
パスワードマネージャが扱う情報を考えてみて下さい。こればっかりは無料のアプリに任せる気はありませんでした *1 。
他にも探すときの条件を幾つか設けていたので、以下に列挙してみます。
- アプリケーションのデータが暗号化されていること
- データをサービス提供社が預かるのではなくローカルにあることが基本であること
- デバイス間で連携がとれること
- 連携時には安全な方法がとれること
この基準で探した中で一番良かったのが1Passwordでした。Mac,Windowsマシン用のクライアントとiOS用のクライアントで合計8k円ほどの出費となりましたが、今のところはかなり満足しています。
1Passwordの概要
とりあえず1Passwordの概要は 1Password を見てもらえばわかるかと思います。マルチプラットフォームのパスワード管理アプリケーションです。
まずはカタログスペックや導入した人のブログなどを読んで、評価が高い物を漁ってみて、購入を決めた情報は以下。
- 256ビットのAES暗号を使ってる
- パスワードだけじゃなくて個人情報やクレジットカード情報の管理にも使える
- マルチデバイスで使える(連携方法をiCloud,Dropbox,Wi-Fiで選べる)
- 文字数など柔軟な強度のパスワードを生成できる
- 主要ブラウザのエクステンションがある
評価が高い中では、最も安全性が高く取り回しやすい思えました。App Storeでも評価が高いのは決め手でしたね *2 。
PayPalで買うと、ライセンスキーが記載されたメールが飛んできます。アプリケーションをダウンロードしたら、そのライセンスキーを登録するだけです。Macの場合は、初回起動時にライセンスキーを自動登録するリンクがメールで一緒に飛んでくるんですが、これってどういう仕組みなんでしょう?
使ってみた所感
アプリケーションに登録したデータが常駐プロセスに連携するタイミングなどで若干微妙な挙動をするときはあるものの、ジェネレータやマネージャとしての機能としては申し分ないです。ログインを要するサイトに対するブックマークにもなりますし、サイトを要しないもの、Flashなどで入力させるものもクリップボード経由でいけるので、各サービスに設定してあるパスワードは意識しないようになりました。
また、個人情報やクレジットカードもこれに登録しておけば、センシティブな情報も割と安心して管理できます。なぜ今まで導入しなかったのかと小一時間自分を問いつめたい気分です。登録情報についてもカスタムフィールドを使ったりできるので、かなり柔軟に使えます。
しかも日本語化されているのは大きいですね。セキュリティに関する言葉はあまり読み慣れていないことが多いので、いちいち辞書引いたりするよりは、日本語化されていてほしいのが本音です。その意味でも使いやすい。サイトは英語ですが。
後、その他基本的な使い方は以下のサイトをご覧いただいた方が速いかと。
2段階認証
とりあえず、今自分が使ってるサイトとか諸々登録しながら、ついでに2段階もできる限り設定していましたが、結構サービスによってまちまちなんですね。今回整理したものの状況を並べてみます。
| サービス | 2段階認証のあるなし | 2段階認証の状況 |
|---|---|---|
| gmail | あり | 以前から対応済 |
| github | あり | 以前から対応済 |
| ログイン認証は公式的にはまだ停止中(できるとの情報もあるが)*3 | というわけでしてない | |
| あり | 今回対応 | |
| はてな | なし? | してない |
| yahoo | なし? | してない |
| MySoftbank | なし | してない |
| クレジットカードのサイト | なし | してない |
| ジャパンネット銀行のサイト | なし*4 | してない |
| evernote | あり | 今回対応 |
| Dropbox | あり | 今回対応 |
| ソニー損保 | なし | してない |
| gacco | なし | してない |
| M2J(FX) | なし | してない |
| Amazon*5 | なし? | してない |
| PayPal | よくわからん | してない |
こうして見ると、2段階認証というヤツも各サービスにより微妙に呼び方が違ったり、対応状況もまちまちなんですねえ。一般的な言葉として統一してほしい気がします。
それから、SMSを使う場合とGoogle Authenticatorなどの認証用アプリケーションを使う場合がありますが、日本向けのSMS対応しているところはまちまちです。これもある程度後者に統一しても良いような気がしますね。ネット銀行のトークンとかと同じようなイメージで操作フローが統一されるので。
この中で一番良くわからなかったのがPayPalです。口座の認証っぽい流れがありましたが、これが何をしたいのかが最終的に良くわからない。今回は時間もなかったので、パスワードの変更だけしていったん見送りました。
その他のサービスは、圧倒って着にtwitterやFacebook経由が多いので、そもそもパスワードを設定していない、と。今回の手間としてはOAuth認証万歳ではありますが、この二つのいずれかに不正アクセスがあった時のことを考えると非常に怖い物がありますね。
(今更ながら)パスワードマネージャの良いところ
- ログインが必要なサイトでたまにしか行かないところに対して、記憶に頼らずに強固なパスワードを設定できるのですごく便利
- Webサービスのパスワード管理だけじゃなくて、プライバシーに伴うほとんどの情報を適切に管理できる
- ブックマークの代わりにもなるところがいい
困ったところ
今のところほとんどないですが、家族との共同アカウント的なやつ(Softbankの契約者であるとか)は、要連絡かつ相手に覚えやすいパスワードにする必要があるとは感じました。
iOS端末との連携
1PasswordのiOS用アプリをダウンロードしておけば、Wi-Fiでの同期が可能です。1Password自体は連携が簡単なんですが、地味に面倒なのは変更してまわった各種サービスのパスワード再設定。2段階認証している物だと再入力までの手間が大きいです。
1Passwordが対応しているのはアプリ内のブラウザ経由でのパスワード自動入力までなので、専用アプリを使っている場合などは、再設定時に1Passwordと対象アプリ、SMSやGoogle Authenticatiorなどを行き来しなければならず、結構面倒くさいというのが本音です。一度やってしまえば問題ないのですが。
後、FXのアプリはパスワードが保存されないので*6、使っている間も1Passwordとの行き来が発生するのは若干面倒ですが、背に腹は代えられませぬ。
Windowsマシンとの連携
で、発端になったMicrosoftアカウントに対しても当然やるべき何ですが、ここではたと思い至る訳です。Windowsマシンのログインアカウントに紐づいているから、強度高くしたいけど不便になるというジレンマ。
とはいえ、MicrosoftアカウントもWebサービスのアカウントですし、やらないという選択肢は正直ないと思います。Microsoftアカウントを関連づけたPCのアカウントに対して、PINコードかピクチャーパスワードを設定できるようなのでそちらを採用してみようかと考え中です。ただ、マシンそのもののログインに関するセキュリティ強度が心配になってくるので、若干の本末転倒を感じなくもないです。迷いどころです。
総評
とりあえず、パスワードの管理はちゃんとしましょう。
*1:色々とビジネスモデルはあるでしょうが、無料のアプリが設ける方法の一つは登録ユーザから得られる情報です
*2:Windowsマシンも持っているので、今回購入したのはApp Storeではなくサイトからですが
*3:Twitterのログイン認証(2段階認証)について - 周回遅れの日記
*4:そもそもワンタイムパスワード用のトークンが手元にあるのでなくてもOKとは思いますが
*5:ついでにAmazon Cloud Driveなんてのを発見
*6:これはこれで正しい仕様だと思います
