私は定期的に、すべてのサイトやサービスに対して一意に、解読が困難なパスワード (短くて複雑か、長くて覚えやすいか) を設定でき、また、それらのパスワードを必要な場所に入力できる、何らかのパスワード管理システムを使用することを勧めています。
Lowell Nelson は数週間前、Apple には同期を含む堅牢なマルチプラットフォーム ソリューションがあるのに、なぜ私は 1Password や Dashlane、LastPass といったサードパーティ製オプションに熱中しているのかと私にメールを送ってきました。 Keychain。 (iCloud Keychain はデバイス間の同期と iOS での使用を可能にします。)
素晴らしい質問です。私は、その有用性がコストを上回るほど高くなければ、有料サービスを購入するように (1 回限りの料金か定期購読かにかかわらず) 言いたくないのですが、
詳細を見てみましょう。 私は 1Password と LastPass を広くテストして研究しているので、それらを比較の基準としています。 Apple の Keychain、1Password、および LastPass はすべて他の種類のデータを安全に保存できますが、パスワードはエコシステム全体とプラットフォーム間で使用できる最も信頼性の高い要素です。
How are your data secure?
パスワード「セーフ」は、3 つの主要な領域において、パスワードを安全に保つ必要があります。 パスワードは、所有者以外がアクセスできないように、デバイス上で安全でなければなりません。
サーバーに保存されたデータ。 攻撃者がクラウドに保存されたパスワードにアクセスして解読することは難しいか不可能でなければなりません。
同期中または Web ベース アクセスとの間で転送中のデータ。 強力な暗号化により、新しいエントリ、検索、更新、および対話型セッションのスクランブルを解除することを防ぐ必要があります。 OS X と iOS は、Keychain エントリを埋めるためにロックを解除する必要があり、OS X の Keychain Access アプリは、ロックを解除してパスワードを表示するために管理者またはユーザー パスワードを必要とします。 iOSではTouch IDまたはパスコード、OS XではFileVault 2を使えば、シャットダウン(OS X)またはロック(iOS)しているときも、パスワードは非常に安全です。iCloud Keychainはデバイスベースの暗号化を使用しており、Appleがあなたのパスワードを解読できないように(または強制されないように)しています。
1Password と LastPass では、ローカルに保存されたデータベースに対して「高価な」パスフレーズ暗号化方式を使用しています。
LastPass はすべてをサーバに同期させますが、ユーザだけが知っているキーで暗号化されます。 1Password は、Dropbox やその他のクラウドベースのサービス (それらのセキュリティおよび暗号化手法に依存) を介して、また家族やチーム メンバーと共有するためのアドオン サブスクリプションを介して同期しますが、ユーザー所有のキーですべてをロックします。 しかし、ブラウザに依存することには弱点があります。 マルウェアやその他のブラウザベースの悪用により、ブラウザは、ネイティブアプリやクラウド同期によって得られるセキュリティレベルに対して、はるかに脆弱なものとなっています。 iOS や OS X の Safari の欠陥は定期的に発見されており (実際にはほとんど見られませんが)、他の OS を実行している見慣れないマシンからパスワードにアクセスしたくなることがあります。 そうでない場合、一貫して使用することはできません。 さらに悪いことに、セキュリティを向上させるために誰かのためにインストールする場合、常にリマインダであり、非常にわかりやすくなければ、まったく使用しない可能性があります。
iOS アプリは iCloud Keychain よりも LastPass と 1Password の拡張機能をサポートする傾向があります。
Keychain は主に、Web ページ上の特定のフィールドのパスワードを記憶する方法として、また、Apple のソフトウェア (OS の AirMac Admin など) や Apple の Keychain フックを使用するサード パーティ ソフトウェアでの自動検索やバイパス用にパスワードを保存するために、Apple によって使用されています。 モバイルとデスクトップの Safari では、Keychain は、強力なパスワードの提案から、パスワードの保存、パスワードの引き出しや保存された他の代替手段の使用まで、非常にうまく機能します。
しかし、OS X では、より多くの開発者がこれを採用し、直接参照および検索できる Keychain Access があるため、広く役立ちますが、iOS では、設定 > Safari > パスワードまで掘り下げて、パスワードを表示、編集、または追加(一番下までスワイプ)しなければなりません。 さらに、AppleのWeb以外のログインダイアログではKeychainを呼び出すことができないため、一般的な目的では役に立ちません。 そして、必要なときにパスワードを作成することはできますが、パスワードにたどり着くのは厄介で、対応する Web ページでしか簡単に取得できません。
Apple は iOS 8 から拡張機能を追加し、1Password や LastPass、その他のツールを Safari やその他のアプリで呼び出すことができるようになりました。 私が使用している多くの iOS アプリは、直接呼び出すことができる 1Password の API に直接結び付けられています。 最悪の場合、LastPass または 1Password に切り替えてパスワードを見つけ、コピーし、アプリに切り替えて貼り付けることができます。
また、このアプリを使って強力なパスワードを作成すると、作成時に保持し、自動的に同期し、クリップボードにコピーして他のアプリで使用することができます。
1Password は Pro ユーザーであれば、Apple Watch にパスワードを入れることもできますし、LastPass にも Apple Watch アプリがあります。
クロスプラットフォームの状況はもっと悪いです。 Apple は、iCloud Keychain を自社のオペレーティング システム以外では利用できないようにしています。 1Password と LastPass (およびその他のアプリ) はさまざまな主要プラットフォームで利用でき、ブラウザベースのアクセスも可能です (LastPass ではデフォルトで、1Password ではサブスクリプション オプションとして提供されています)。 (ファミリー共有の問題には触れないでおきましょう。)
Most password systems have some mechanism to share secrets with others who have accounts. 1Password では、サブスクリプションなしで直接送信したり、最近では、ビジネスや家族のグループのメンバー間で選択的にアクセスを共有したりすることができます。 LastPass は、アイテムが集中的に保存されるため、何年も前からこれを提供しています。
どちらかを選ぶ
ほぼ完全に Web サイト上でのみパスワードを使用し、iOS と OS X のみ使用し、Apple がそのサービスに要求するパスワードを記憶し入力しても構わない場合は、iCloud キーチェーン付きのキーチェーンはその条件に適合しています。 これらの条件がすべて一致しない場合、パスワード管理システムは投資する価値があります。
Update: この記事の以前のバージョンでは、iOS は保存されたパスワードへのアクセスや新しいパスワードを作成する方法を提供していないと言っていました。 これは、設定に埋もれているだけです。