You can start without risking high value passwords
If you are relucted to use the password manager for all accounts, discuss with those password that you would least worry about losing or being compromised.
File you probably care to create a seven-day trial subscription to a software program, news articles or research.The password used to the password for creating the seven day trial subscription to the software program? 多くの異なる Web サイトで買い物をする場合、クレジットカード番号、電話番号、住所など、同じ情報のコピーを保護するアカウントを何十個も持っている可能性があります。 これらの情報はどれもあまり秘密ではなく、クレジットカード番号が盗まれても責任は限定的で、ほとんどのショッピング サイトではパスワード リセット電子メールを受信することで簡単にパスワードをリセットできます。
価値の低いパスワードから始めることにより、間違いの影響が少ないうちに、パスワード マネージャーの動作に慣れ親しむことができます。 また、経験を積むことで、リスクとメリットをよりよく理解できるようになります。 価値の低いパスワードを作成、記憶、および入力する必要がなくなったとき、節約できた労力の一部を価値の高いアカウントのパスワードの保護に回すことができることがわかるかもしれません。 あなたはおそらくそれらを書き留めたいと思うでしょう。 それを使って、時間をかけていくつかのアカウントのランダムなパスワードを学ぶことができるはずです。
ほとんどのユーザーは、新しいソフトウェアを購入したりダウンロードしたりせずに始めることができます。 主に Safari や Chrome を使用している場合、どちらのブラウザーにもランダムなパスワードを生成してくれるパスワード マネージャーがあります。 Brave、Edge、または Firefox は、この記事を書いている時点では、パスワードを生成しないので、カバーするつもりはありません。 再利用されたパスワードの監査は、パスワード マネージャーが提供できるセキュリティ上の利点を得るために不可欠です。 ほとんどのスタンドアロン型パスワード マネージャーは監査機能を提供しており、Safari の内蔵パスワード マネージャー (Apple のキーチェーン) にも最近追加されました。
重要なパスワードをパスワード マネージャーに保存しないようにしていても、保存したパスワードと再使用したパスワードを定期的に見直す価値はあります – 作成時には価値がないように見えたアカウントも時間の経過とともに価値が上がることがあります。 パスワード管理ソフトの中には、明らかに脆弱なパスワードを指摘してくれるものもあります(例:一般的なパスワードリストに掲載されているパスワードなど)。 一度にすべてを変更するのに十分な時間があるまで待つ必要はありません。優先順位をつけて、始めましょう。
Alas, パスワードを再利用したかどうかをテストするパスワード マネージャーは、そのパスワードの保存を許可した場合のみ、それを実行します。 価値の低いアカウントのパスワードしか保存しない場合、パスワード マネージャーは、価値の低いパスワードのどれが再使用されたかを知ることができるだけです。 私は、他のサイト用に保存したパスワードを現在のウェブページに入力した場合に警告するパスワードマネージャーを知りません。 ほとんどのパスワード マネージャーがこのようなパスワードの再使用を警告できない技術的な理由はないので、早くそうなってほしいものです。
強いマスター パスワードを学ぶ
ほとんどのパスワード マネージャーは、さらに別のパスワード – 一般にマスター パスワードと呼ばれます – でパスワードを保護します。 スタンドアロン型のパスワード マネージャーでは、使用を開始するときに、マスター パスワードを作成するよう求められます。 Google の Chrome ブラウザを使用してパスワードを保存し、デバイス間で共有する場合、パスワードは Google によって保存され、Google アカウントのパスワード(および使用している可能性のあるその他の要素)によって保護されます。 AppleのiCloudキーチェーンは、主にあなたのデバイスのパスワードとロック解除機能に依存して、定期的にデータを保護しますが、iCloudセキュリティコード.
と呼ばれる予備のマスターパスワードを持っていますあなたが他のものに使用したマスターパスワードは使用しないでください。 これは、おそらくあなたが気にしないアカウントにそのようなアドバイスを受けて、パスワードの再使用に対する警告を学んだので、繰り返しになります。 価値のないパスワードとは異なり、他のすべてのパスワードを保護するマスター パスワードは本当に一意でなければなりません。
Google アカウント経由で同期された Chrome パスワード マネージャーを使用していて、Google アカウントに強力で一意のパスワードがあると 100% 確信できない場合、新しいパスワードを作成します (後述のように、新しいパスワードを忘れた場合の復旧計画を確認してからです)。 また、そのアカウントに2ファクタ認証を導入すべきかどうかを再検討する良い機会でもあります。 同様に、Apple の iCloud キーチェーンを使用している場合、iCloud セキュリティ コードとしてパスワードを再利用しないでください。
マスター パスワードはランダムに生成され、攻撃者が Web サイトの暗号化パスワード リストを入手してその暗号化を破ろうとしても、パスワードを保護できる十分な長さにする必要があります。 パスワードが本当にランダムであることを確認するには、パスワード マネージャーでパスワードを生成させます (または、サイコロと単語リストを使用します)。 多くの人は、心の中で文字を呼び出したり、キーボードを叩いたりすることでランダム性を生成できると誤解していますが、私たちがランダムだと考えている精神的プロセスの多くは、実は本当のランダム性ではありません。 優れたパスワード マネージャーは、暗号化乱数発生器を使用して、パスワードが十分にランダムであることを確認します (サイコロは、昔からある物理的なランダム性の源で、単に振ることで公正さをチェックできます)。
マスターパスワードは、少なくとも小文字 12 文字または単語 5 つにすべきです。 過去に大文字や記号を使うように言われた (そして強制された) ことがあるのに、なぜ小文字や単語を使うのでしょうか。 携帯電話のような画面上のキーボードでパスワードを入力しなければならない場合、大文字の文字や記号を入力すると、キーを押す回数が余分に必要になることがあります。 大文字と小文字を混在させた場合よりも30%長くするだけで、同じセキュリティを確保でき、イライラすることもなくなります。 言い換えると、ランダムに生成された 13 文字の小文字のパスワードは、13 回のキーストロークで入力でき、10 文字の混合パスワードと同じくらい安全です。
新しいマスター パスワードをすぐに覚えようと思わないでください。 むしろ、マスターパスワードを習得する最良の方法は、それを書き留めて、頻繁に使用することです。 パスワード管理ソフトを設定し、パスワードを覚えるまで少なくとも1日1回は再入力するようにし、紙のコピーは、何日もかけて確実に記憶して入力した後、処分するようにしましょう。 ランダムなパスワードを覚える能力はあまり研究されていませんが、私と共同研究者が行った調査によると、パスワードを覚えるには10回から30回ほど使用する必要があるようです。 (その研究では、パスワード マネージャーが強力なマスター パスワードを習得するために使用できるテクニックを調査していますが、現在はどのマネージャーも手助けをしていません。)
最後に、マスター パスワードを記憶する前に紙のコピーを失わない、あるいは後で忘れないと仮定しないでください。
Factor recovery into selecting a password manager
パスワード マネージャー間の最大の違いの 1 つは、マスター パスワードを失った場合のデータの回復プロセスなので、その緊急回復プロセスを調査せずにパスワード マネージャーを選択するべきではありません。 選択後、マスターパスワードの選択と同時に、最初に行うべきことは、この回復プロセスの設定です。 マスター パスワードを作成した直後や、繰り返し使用してパスワードを習得する前に忘れてしまう可能性が高いので、すぐに必要になるかもしれません。
パスワードを失った場合の影響は小さく見えるかもしれませんが、設定中や保存したパスワードをまだ失っていないときは、すぐにパスワード マネージャーに依存することになるかもしれません。 一度覚えたパスワードは絶対に忘れないと思い込んでいませんか? パスワードを作成した直後に忘れてしまうことはよくありますが、使わない期間があると忘れてしまうこともよくあります。 たとえば、次に予定していた休暇の後に忘れたり、数年前に友人が学んだように、予定外の入院の後に忘れたりすることがあります。
なぜ製品ごとに回復の方法が異なるのでしょうか。 その理由の 1 つは、世界最大級で、最高の資金力を持ち、優れたユーザビリティで知られる企業であっても、これは本当に難しい問題だからです。 Safariで使用されるiCloud Keychainを保存するAppleのiCloudを考えてみましょう。 iCloudのアカウントを復旧させるには、カスタマーサポートを利用する方法がありますが、2012年には著名な記者のアカウントも含め、ハッカーがサポート担当者を騙してユーザーアカウントを漏洩させたことがあります。 そこでAppleは、復旧に使用するパスワードをランダムに生成して保存し(AppleはこれをRecovery Keyと呼ぶ)、カスタマーサポートがパスワードを変更できないようにアカウントを設定するオプションもユーザーに提供した。 リカバリーキーを採用したユーザーは少なく、採用したユーザーの中には、実際には、必要なときにカスタマーサポートが助けてくれなくなったことを知り、憤慨した人もいたようです。 Appleは2015年にリカバリーキーの提供を停止しました 。 Apple は現在、電話番号で顧客を確認した後にパスワードをリセットできるようにしていますが、このプロセスは攻撃に対してかなり脆弱であるにもかかわらず、
もしそれが十分悪いことでなければ、カスタマーサポートがユーザーのパスワードやその他の認証情報をリセットするかどうかを決定する要件は一般には公開されていません。 カスタマー サポートによるユーザーのアカウント資格情報のリセットを許可している企業のうち、復帰に何が必要かを決定するために使用するルールを共有しているところはありません。 このルールがなければ、ユーザーは自分のアカウントを回復できる条件と、攻撃者が自分のアカウントを乗っ取ることができる条件を知ることができないのです。 繰り返しになりますが、これらの企業はユーザーがアカウントを信頼することを期待しますが、ユーザーが引き続きアクセスできるかどうか、または攻撃者がユーザーからアカウントを盗むことができるかどうかを決定する規則を教えてくれません。
オープン ソースのパスワード マネージャーである KeePass と PasswordSafe (オリジナルのパスワード マネージャー) では、パスワードを含むファイルを、それらのファイル内のデータを保護 (暗号化) するために使用するキーとともに保存およびバックアップする方法を見つけることはユーザーに任されています。 したがって、パスワードをマシン間で共有したい場合は、オンラインファイルストレージアカウント(例:DropBox)を作成する必要があります。 バックアップは、マスターパスワードとファイル共有アカウントのパスワードを書き出したものにすることができます。 そのアカウントで 2 要素認証を使用する場合は、そのバックアップも必要です。
LastPass, Keeper, および Dashlane では、緊急連絡先にアカウントへのアクセスを事前承認することができますが、彼らが同じパスワード マネージャーのアカウントを持っている場合に限ります。 これは、これらの製品が暗号化技術を使って、あなたの友人ではなく、企業がこのデータにアクセスできることを保証するために設けられているものです。 これは、サービスがハッキングされたり、攻撃者がカスタマー・サポートになりすましたりした場合に、あなたを保護するのに役立ちます。 しかし、攻撃者があなたの連絡先のアカウントを侵害した場合、あなたのアカウントも侵害される可能性があります。 あなたの情報が緊急連絡先に公開されるまでに時間を置くことで、そのような事態が起こる可能性を減らすことができます。 1Password では、マスター シークレットは実際には 2 つの部分で構成されています: 秘密鍵は、パスワードを入れたすべてのデバイスにソフトウェアが保存し、マスター パスワードはそのデバイスに保存されます。 新しいデバイスで 1Password を使用するには、秘密鍵をそのデバイスに転送する必要があります。 秘密鍵とマスターパスワードを書き込むスペースがあるPDFを印刷できる「緊急キット」を作成することで、秘密鍵のバックアップを取ることができます。 (LastPass や Dashlane と同様、1Password もオンラインサービスを設計しており、これらの秘密鍵を保持しないため、カスタマーサポートは攻撃者(あるいはあなた)が秘密鍵なしでデータにアクセスするのを助けることはできません。 LastPass や Dashlane とは異なり、1Password の復旧プロセスには、サービスや他の人とのやりとりは一切必要ありません。 1Password は、何パーセントのお客様がリカバリキットを印刷したか、何パーセントのお客様がリカバリキットを使用したか、何パーセントのお客様がパスワードを永久に失ったかを知ることができません。 回復プロセスの信頼性を向上させるために得られる唯一のデータは、ユーザーがサポートに連絡した際に自発的に提供したものです。
Chrome を Google アカウントと 2 要素認証で使用している場合、1 回限り使用できる回復パスワード(バックアップ コードと呼ぶ 8 桁の数字)を 10 個入手でき、2 つの要素のうちの 1 つに置き換えることが可能です。 Googleは、これらを「印刷またはダウンロード」することを推奨しています。 Google はこれらのコードも保存するため、よく管理されたランダム生成パスワードとは異なり、Google に情報漏えいが発生すると、コードが危険にさらされる可能性があります。
Chrome や 1Password で印刷した回復パスワードを使用するか、KeePass や PasswordSafe で独自の回復パスワードを作成した場合、印刷後の回復パスワードをどこに保存するかを決定する必要があります。 貸金庫や家庭用金庫が適切かもしれません。特に、すでに金庫を持っていたり、金庫が必要な場合は、そのようにします。 印刷した回復の秘密を友人と共有できない技術的な理由はありません。 もしそうするのであれば、その事実を除外することで、盗まれたときにわずかな防御になるかもしれないので、誰のためのものなのかシートには書いてほしくないかもしれません。 もう一つの選択肢は、2 人の信頼できる連絡先にコードの半分、または 3 人の信頼できる連絡先に各コードの 3 分の 2 を渡すことです (どの 2 人の連絡先もあなたを助けることができるように)。
上記のオプションのどれかが気に入らない場合、すべてのパスワードを定期的に印刷するか、書き留めることができます。 印刷する場合、プリンターが安全であることと、そのプリンターへの安全なネットワーク接続に依存することになります。
他の多くのパスワードが電子メールでリセットできるため、回復戦略を計画する際に主要な電子メール パスワードも特別な配慮が必要です。 これは、ランダムに生成されるパスワードに変更するための最も重要なパスワードかもしれませんが、パスワードマネージャにアクセスできなくなった場合に最も必要となるものでもあります。 パスワードを変更する場合は、書き留めたり、バックアップを取ったりすることも検討すべきです
。