パスワード管理ソフト対あなたの記憶:生き残った唯一の規則

公開日 著者 David Carrero

守らない規則と、守れない規則のあいだには、とてつもない差がある。「サイトごとに 別のパスワードを」は後者だ。

私たちが叩き込まれた教義——大文字、数字、記号、定期的な強制変更——のうち、NISTは SP 800-63B でそのほとんどを投げ捨てた。 長さのほうが、ひねりよりも重要になった。強制的なローテーションは、侵害の兆候が ない限り消えた。記号を要求することは、はるかに理にかなったものに置き換えられた。 すでに流出したリストと照合すること、である。

生き残った規則は一つだけ。使い回すな、というものだ。そして私たちがもっとも耳を 貸さなかったのがそれだった。守るには、社内掲示のどのポスターも書いていなかった 何かが必要だったからだ。

なぜあなたの記憶では無理なのか

自分がいくつアカウントを持っているか考えてみてほしい。使っているものではない。 持っているもののほうだ。銀行、メール、もう一つのメール、2019年にスニーカーを 買った通販サイト、掲示板、航空会社、駐車場のアプリ、マンションの管理組合のサイト、 五分で終わる手続きのために登録を強いられた役所のサイト。

そのすべてに、長くてランダムで、それぞれ違う文字列を覚える。想像してみてほしい。 難しいという話ではない。人間の脳が到達できる目標ではないのであって、それを 何年ものあいだ「できるはずだ」と言い張ってきたのは、情報セキュリティが犯した 罪のうち、まだ小さいほうの一つだった。

だから私たちは、できることを一つだけやった。良いパスワードを一つと、その変奏だ。 銀行には Sakura2019!、掲示板には Sakura2019?。あるいはもう全部同じにして、 頭のなかに「まあ、銀行だけは別のを使っているし」という注釈をつけておく。

そこに問題がある。実際の攻撃は、あなたのパスワードを当てにいくものではないからだ。 別のサイトからすでに盗んだものを、試すだけである。2019年の掲示板が漏れる—— 2019年の掲示板は漏れるものだ——誰かがそのメールアドレスとパスワードの一覧を拾い、 思いつく限りのサービスに向けて、自動で試す。何かを破る必要はない。鍵はもう あなたが渡している。相手はドアを順に押しているだけだ。これが credential stuffing であり、これが効くのは、まさに唯一まともだった規則が、誰にも守れない 規則だったからである。

管理ソフトは便利さの話ではない

ここでパスワード管理ソフトは、たいてい贅沢品として売られる。楽ですよ、勝手に 入力してくれますよ、打たなくていいんですよ。本当だし、どうでもいい。

管理ソフトはあなたの手間を省くのではない。それなしでは届かない規則を、届く ものに変える。 百キロ走れと言うのと、自転車を渡すのとの違いだ。数字は変わって いない。変わるのは、できるかどうかである。

一つ手元にあれば、SP 800-63B の残りは勝手に片づく。複雑さより長さ? 打つわけでは ないのだから、管理ソフトが好きなだけの長さで作る。サイトごとに別々? 定義からして 自明だ。強制ローテーションなし? 結構、漏れたものだけ変えればよく、多くの管理 ソフトはそれが起きたときに教えてくれる。いまも覚えなければならないのはマスター パスワードだけで、これだけは丁寧に作る価値がある——ジェネレーターで ランダムな四つか五つの単語を出し、チェッカーでどれだけ持ちこたえる か見ておく。

正直な反論

「卵を全部同じかごに盛るのか。」千回は聞いたし、馬鹿げた話ではない。誰かがあなたの 管理ソフトに入れば、全部に入る。単一障害点であり、そうではないと言う人間は何かを 売りつけようとしている。

答えのほうも正直でなければならない。そう、かごは一つだ。しかし代わりの選択肢は、 卵を分散して持つことではない。床にぶちまけておくことだ。 管理ソフトなしで たどり着くのは、独立した八十個のパスワードではない。八十のサイトで同じ一つの パスワード、である。それは同じかごでいて、蓋もなく、暗号化もなく、しかもあなたが 安全性をまったく知らない八十台の他人のサーバーに複製されている。

現実の脅威モデルを見てほしい。まともな管理ソフトの暗号化された保管庫をこじ開ける には、製品の重大な欠陥か、あなたのマスターパスワードかが要る。あなたが通販サイトで 使ったパスワードを、あなたのメールで試すのには、何一つ要らない。スクリプトと一覧が あればいい。あなたは、多くを必要とする攻撃と、すでに、絶えず、自動操縦で起きて いる攻撃とを比べている。

理にかなった用心はこうだ。長くて他とかぶらないマスターパスワード、管理ソフトでの 二要素認証の有効化、そしてマスターパスワードがいまや自分の急所だと自覚すること。 そのように扱ってほしい。

どれを選ぶか、そしてなぜ唯一の答えがないのか

アフィリエイトリンクを置いているサイトとしては、居心地の悪いことを言う番だ。 最良の管理ソフトは、あなたが実際に使うものである。そして良いものは一つでは ない。

Bitwarden はオープンソースで、たいていの人に必要なものを満たす無料プランが あり、その気になれば自分で置くこともできる。コードが監査できることは宣伝文句では ない。誰かの言葉を信じずに済む、という意味だ。

KeePass ——とその派生——は、すべてをローカルのファイルに保存する。クラウドも、 アカウントも、事業者もない。心配ごとが「自分のパスワードを他人のサーバーに置き たくない」なら、その心配は文字どおり解消される。引き換えに、端末どうしの同期は 自分の仕事になる。

1Password は有料で、こちらからリンクして いる先だ——アフィリエイトである、記録のために書いておく——。これがうまいのは、 管理ソフトが一つの家庭で生き延びるかどうかを決める、たいていはその部分だ。技術に 詳しくない人が理解でき、パートナーと共有でき、一週間で放り出さない。有料だから Bitwarden より安全なのではない。多くの人にとって、放り出さずに済みやすいのである。

そしてブラウザの管理機能。無料で、もう入っていて、もう保存しますかと聞いてくる。 制御でも、持ち出しやすさでも、共有でも、上の三つには及ばないし、一つの環境に縛られる。 それでいい。ブラウザのものを使うことは、何も使わないことより比べものにならない ほどましだ。大きな問題のほうを解いてくれるからである。そうではないと言う人間は、 現実のリスクより潔癖さを前に置いている。

すべてを一行にすると

長年、私たちはパスワード一つ一つがどうあるべきかを教わり、それを全部どうやって 覚えるのかは、ほとんど教わらなかった。抜けていたのはその一歩で、それがない限り、 生き残った唯一の規則は規則ではなかった。ただの小言だった。

一つ選んでほしい。どれでもいい。どれがいいかという議論は、管理ソフトがある状態と ない状態のあいだの距離に比べれば、些細な話である。


出典:NIST SP 800-63B「Digital Identity Guidelines: Authentication and Lifecycle Management」(複雑さより長さ、侵害の兆候がない限り強制ローテーション なし、流出パスワードリストとの照合)· Bitwarden、KeePass、1Password が公開して いるドキュメントおよびセキュリティモデル。

← ブログに戻る