ここまでで、パスワードマネージャーを使用する必要があることは明らかです。 なぜかというと、アカウントを保護するための標準的な手順を考えてみてください。

• 複数のサービスで同じパスワードを使用しないでください。
• 大文字、小文字、数字、特殊文字を拡張して組み合わせて使用します。
• パスワードは頻繁に変更する。

この3つの基本原則から、驚異的な記憶力を持たない限り、どこかに書き留めなければ、すべての証明書を覚えておくことはできないのです。

もちろん、セキュリティ上Excelには保存できないし、外出先で紙とペンを使って作成しても意味がないし、ブラウザのパスワード管理もパスワード管理ほど安全ではありません。

しかし、すべてのパスワードマネージャーが同じように作られているわけではありません。そこで、主要なプロバイダーのセキュリティについて見てみましょう。

1 最後のハードル

LastPassは、最も人気のあるパスワードマネージャです。広く採用されていますが、2016年末にすべてのデバイスで****で利用できるようになってからは、まったく新しいレベルの人気となりました。

その人気のため、ハッカーやサイバー犯罪者からの注目度も高くなっています。LastPassの歴史の中で、2011年と2015年の2回、注目すべきセキュリティインシデントが発生しています。いずれのケースも、不審なネットワークトラフィックに気づき、全ユーザーにマスターパスワードの変更を強制しました。

LastPassに対する犯罪者の強い関心は、時に同社にとって有利に働くことがあります。多くの場合、深刻な問題になる前に脆弱性を特定し、修正することができます。

LastPassは現在、業界で最も強力なセキュリティ機能を誇っています。例えば、パスワードにはPBKDF2-SHA256ラウンドの一方向塩漬けハッシュを使用し、ブルートフォースアタックを事実上不可能にしています。ハッシュはあなたが誰であるかを証明し、復号化キー（あなたのコンピュータを離れることはありません）はあなたのデータ保管庫にアクセスするために使用されます。

データ保管庫自体は、LastPassサーバに入る前に256ビットAES暗号化でエンコードされます。また、デバイスとLastPass間のデータ移動にはすべてSSLが使用されます。

最後に、LastPassはXSSやSQLインジェクション攻撃のリスクをチェックするためにParosを、セキュリティのパフォーマンスを検証するためにFunkloadを使用しています。

2 ダッシュボード

Dashlaneは、LastPassの最大の競合相手の1つです。ローカルにしか情報を保存できない他のパスワード管理ソフトとは異なり、Dashlaneはデバイス間の同期も可能です。

2011年に発売されたLastPassより3年若い。

興味深いのは、Dashlaneが独自の特許を持つセキュリティシステムを持っていることです。2012年3月に米国特許商標庁に提出した。クラウドベースのデータバックアップと同期、ローカルストレージとアクセスキー」と呼ばれ、Dashlaneの安全な運用のための設計図となっています。大きく分けて「データの暗号化」と「ユーザー認証」の2つがある。

データの暗号化は、パスワード、支払い情報、個人情報をどのように安全に保つかを説明します。マスターパスワードには、PBKDF2を10,000回繰り返して暗号鍵を取得しています。 Dashlaneは、サーバー上のすべてのデータをAES-256で暗号化しています。LastPassと同様、マスターパスワードをサーバーに保存することはない。

ユーザー認証とは、新しいデバイスの最初のログインを確認するプロセスのことです。Dashlaneは、サイバー攻撃の標的となりがちなマスターパスワードのハッシュを使用する代わりに、ワンタイムパスワードを電子メールで送信するようにします。一度ログインすると、Dashlaneはユーザーのデバイスキーをサーバーに送信し、次回以降のログインを簡単に識別できるようにします。

III. キッパ

オープンソースのKeePassは、パスワード管理に代わるアプローチをとっています。クラウドベースのマルチデバイス・サービスである代わりに、KeePassはすべてのデータをローカルデバイスに保持します。

一方、そのローカルなアプローチは、ネットワークトラフィックをハッキングして解読しようとするサイバー犯罪者からあなたのデータを完全に保護することを意味します。一方、パスワードを持ち歩きたい場合は、このアプリのポータブル版をインストールする必要があります。その場合でも、USBポートのない機器では動作しません。

このアプリケーションの最も優れたセキュリティ機能は、一次認証方法としてマスターパスワードとキーファイルのいずれかを選択できることです。さらにセキュリティを高めるために、両方実行することも可能です。

KeePassはSHA-256で合成マスターキーを圧縮し、Argon2（パスワードハッシュコンペティションの優勝者）で辞書攻撃や推測攻撃を防ぎ、プロセスメモリ保護で機密データがディスクに保存されないようにします。最後に、KeePassはキーロガーを防止するために安全なデスクトップを提供します。ツール>オプション>セキュリティでオンにする必要があります。

このアプリの最大の弱点は、100を超えるプラグインがあることです。クラウド上のパスワードの同期から自動キャプチャまで、あらゆることを可能にする、いじりがいのある製品ですが、その安全性を確認する簡単な方法がないのです。

ゴールキーパー4名

LastPassの代替品についての記事で、コメント欄には、Keeperが多くの読者のお気に入りのアプリケーションであることが示唆されているようです。機能面、使いやすさ、セキュリティ機能などを評価していただきました。

しかし、賞賛は正当化されるのか、管理者であれば安全なのか。一言で言えば、「イエス」です。

まず、Keeperは「ゼロナレッジ」と呼ばれるポリシーを使用しており、実際にはKeeper側で暗号化または復号化を行わないことを意味します。これはすべて、あなた自身のデバイスで行われます。他の多くのパスワードマネージャーと同様に、256ビットAESを使用しています。

次に、Keeperサーバー上の各パスワードは、"データキー "と "レコードキー "という2つのユニークなキーで暗号化されます。

この暗号化はすべてクライアント側で行われるため、Keeperのサーバーには生のバイナリコードしか存在しないのです。このコードは、ハッカーがまだあなたのデバイスを持っていない限り、全く役に立ちません。また、ネットワークスニッファーで保護されています。Keeperは256ビットのAES暗号を使用しているため、ハッカーがこれを破るには数千年かかると言われています。

最後に、PBKDF2の最大10万回の繰り返しを提供します。

5 スティッキーコード

ここ数年、Sticky Passwordは評判を上げるのに忙しくしています。現在では、パスワード管理ソフトの代表格として、さまざまなレビューサイトで定期的に高い評価を得ています。

wi-fi-syncは、クラウドサーバーを利用したデバイス間のパスワードの同期は行わず、同じネットワーク上にあるときのみ同期をとるというものです。クラウドシンクを実用化する場合、マスターパスワードとオンラインパスワードの両方を入力してアクセスする必要があります。

他のアプリケーションと同様、マスターパスワードはSticky passwordのサーバーに保存されることはなく、ネットワーク上で送信されるデータはすべて256ビットAESで暗号化されています。

マスター暗号は暗号鍵の根拠となる。pbkdf2は暗号ソルトで導出され、一方向性関数暗号ハッシュを作成する。

お使いのパスワード管理ソフトは安全ですか？

パスワード・マネージャーを使用すべきことは周知の事実ですが、そのパスワード・マネージャーが安全であることを確認するために時間を費やしていますか？プロバイダーがどのような暗号化技術を選択しているか、また、最近深刻な情報漏えいの被害に遭っていないか、ご存知ですか？便利なセキュリティ機能が追加されているかどうか、ご存知ですか？

一日の終わりに、あなたは自分のデジタルライフの鍵をこれらの会社に渡すことになります。

パスワードマネージャーはどのようなものを使っていますか？セキュリティ機能はどうなっていますか？いつものように、あなたの感想や意見をすべて下のコメント欄に書き込んでください。この投稿を、同じ志を持つ読者とソーシャルメディアで共有することを忘れないでください。

画像引用元：Phonlamai Photo/Shutterstock