« | »

2015.01.19

パスワード管理に”LastPass”を導入してみた。

昨今WEBサイトが攻撃されてパスワードが流出するという事件をちょくちょく耳にします。

おとよとしては自分が会員登録して後で忘れてしまうのは嫌なので、WEBサイトへのユーザー登録は極力しない派です。 特にショッピングサイトはかなりクリティカルな個人情報を登録しますので、極力複数店舗が同居する楽天のようなショッピングモールを利用するようにしています。 それでもアプリケーションのユーザー登録など含めて、数十というサイトにメールアドレスとパスワードが登録されています。

こうなってくると何かしらの方法でどこに何を登録したのかを管理しないといけません。

以前は表計算ソフトの記入して管理するという非常に原始的な方法だったのですが、スマートフォンの登場で出先でWEBサイトにアクセスする機会が増えるとそうも言ってられません。 そこで8年くらい前にはじめてパスワード管理ソフトを導入しました。

 

その時導入したのが、Spb Wallet…

この時、スマホはWILLCOM03を使用していましたので、Windows mobile版がはじめての導入です。

そしてスマホをAndroidに移行してからも保存したデータの互換性からAndroid版Spb Walletを使用していました。

しかし、Android2.3時代から更新がストップし、すでに公式ページでは終息宣言されています、Xperia Z1fのAndroid 4.2.2では今のところ問題なく動いていますが、この先どうなるかは全く判りません。 今動いている間に次の移行先を見つけよう・・・ということで今回最新のパスワード管理ソフトを導入することにしました。

 

Spb Walletが登場した時代はパスワードは長くて6-8文字程度が主流、サイトクラックによる個人情報流出が社会問題に発展するようなこともなかったので、パスワード管理といっても多くの場合は自分が入力した文字の覚え書きのためのものでした。

しかし現在のパスワード管理はただ自分が入力したパスワードを記憶するだけでなく、より強度の高いランダムパスワードを自動生成してそれらをWEBページ上で自動入力してくれるサービスが主流となってきています。 ランダムパスワードは桁数が多いほどパスワードとしての強度が増しますが、それらを登録・設定したパソコンだけで使用できるのでは意味がありません。 複数のパソコン・スマホと相互連携できることが必須機能となります。

このため、クラウドベースで管理する手法が最近のトレンドとなっており、今回はこのクラウドベースのパスワード管理を採用することにしました。

 

これらクラウドベースのサービスはいくつか存在しますが、今回おとよが採用したのは“LastPass”

“1Password”と人気を二分する大手のクラウドサービスです。

 

パソコンのみの利用では無料。

クラウドを経由してスマホなどのマルチデバイス連携を利用する場合は、年$12の有料サービスとなります。

同様サービスで無料のものもいくつか有りますが、おとよのポリシーとしてこの手のサービスで無料のものは利用するつもりはありません。

これだけのサーバー設備とサービスを維持しているのですから広告収入なんて不安定なもので成り立つはずがありません。 また有料アプリ代を一回支払って終わりというのもビジネスとしてはあまりに自転車操業です。 これでビジネスが成り立っているとしたらシステムにコストを割いていない脆弱なもの、もしくは何時サービスを打ち狩られるか判らない、あるいは別の形で何処かに情報売ってる??と疑わせざるをえないでしょう。

ビジネスを維持するのに継続した料金徴収は当然で、無料だからと飛びつくのは予測できないリスクを別に抱えることになると思います。

 

実際に使用してみた感じは、パソコン版はかなり快適です。 IE/Firefox/Chromeに対応したアドインを用意されており、メンテナンスも容易。

パスワード自動入力もアドインが上手く判定してくれて問題なく動作します。 もしサイトの作りの関係で自動入力が機能しなくとも、右クリックメニューからアドインを呼び出して入力可能となっています。

パスワード変更は若干注意が必要でしょうか…特にJavaスクリプトやPHPでログイン画面を生成されているものは、新旧パスワードの判定がおかしくなる場合もあります。 この辺りは後日TIPSをご紹介したいと思います。

 

そして一番心配したのはスマホ(Android)版アプリの動作。

取り敢えずWEBについてはDolphinブラウザ用に専用アドインが用意されているので、アドイン経由で使用する分にはパソコン同様の操作感が得られます。

しかしそれ以外のブラウザや、スマホ場合はAmazonやヨドバシ.com、楽天のようにWEBサイトと連携した専用アプリが存在します。

これらにクラウド登録されているランダムパスワードが入力できるかどうか不安だったのですが、これらはLastPassアプリがパスワード入力動作を感知してHelperダイアログが起動、適切なサイトのユーザー名/パスワードをクリップボード経由で入力できるようになっていました。

自動入力までは行かないまでも、専用アプリにランダムパスワードを入力できることが出来る事でこれらショッピングサイト謹製アプリでも堅牢な桁数の多いランダムパスワードが使用可能となります。

これら以外にもWiFiの設定情報保存や、クレジットカード・銀行キャッシュカードの登録情報…テンプレートによる個人情報管理等、秘密なんだけどイザという時には閲覧できるようにしたい情報を格納できるのもメリットです。

 

まだWEBサイトのパスワードを再登録するまでしか出来ていないですが、せっかく有料登録したのですから上手く活用していきたいと思います。

Trackback URL

Comment & Trackback

No comments.

Comment feed

Comment





XHTML: You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">