パスワード管理アプリ「マスターパスワード・認証方式」比較レビュー

以前の記事、「パスワード管理アプリ」比較レビューの続きとして、各レビュー済みのアプリを今度は安全性という面から見てみたいと思います。もちろん安全性というといろいろな側面があると思いますが、今回は「マスターパスワードおよび認証方式の扱い」について取り上げてみたいと思います。
マスターパスワードというのはパスワード管理アプリに保存されたパスワードを見るためのパスワードです。特にパスワードデータをクラウド上に持っている「クラウド型パスワード管理アプリ」では、これが悪意のある誰かに漏れてしまうと大変なことになります。誰かの他のアプリから、勝手にパスワードを参照されてしまい、登録しているサービスを利用され、気づいた時にはすでに被害に遭っていることになるからです。しかも、その漏洩元が、そのパスワード管理アプリからかどうかは厳密にはわからないのです……。
マスターパスワード以外の、Touch IDやFace ID、Windows Hello、SMS認証など、他の認証方式に変更したり、追加する機能を備えているアプリもありますので、その紹介もしたいと思います。

そこで、ここではまず、パスワードデータをクラウドに登録する「クラウド型」、アプリ内に登録する「アプリ型」、それとクラウド型ではあるもののパスワード確認方式が特殊な「特殊型」の3つのカテゴリに分け、それぞれに属するアプリについてマスターパスワードおよび認証方式の扱いについて見てみました。

まずは、表にまとめてみました。（クリックで拡大します）

表の項目に「辞書攻撃対策」とあります。
「辞書攻撃」とは「password」や「12345678」、「qwerty（キーボードの横一列）」といったありがちなパスワードや、それらの文字の一部を置き換えて「p@ssw0rd」などとしたパスワードを狙って不正侵入する攻撃のことです。
これらのありがちなパスワードのリスト、いわゆる「パスワード辞書」は、裏の世界では実際に出回っていると考えましょう。
辞書攻撃の対象になるようなパスワードを設定できないようになっているかどうかを〇×△で評価しました。

では、それぞれのアプリについて特徴を見ていきます。

【カテゴリ1】クラウド型

クラウド型は、序文で書いた通り、クラウド上のパスワードデータを守るためにマスターパスワードが使われているため、絶対に突破されてはいけません。
なので、ちゃんとしたマスターパスワードを登録し、認証方式の追加や変更ができるのであれば採用するべきでしょう。

1Password

マスターパスワード（アプリ内ではマスターキー）を作る際に最低10文字と、少し長めの文字列を作らなければならない「1Password」ですが、長ささえ足りていれば内容は問われません。小文字のみや数字のみでも受け付けます。ただし、辞書攻撃に使われそうな文字列は使えません。
逆に文字数制限はないので、長いパスワードを設定できます。ただし、マスターパスワードを忘れて5回連続で間違えると新規にマスターパスワードから作り直しになります。
このような事態になったときのために、マスターパスワード作成時に「1Password Emergency Kit」というPDFファイルが作られます。ここにマスターパスワードを書いておき、大事に秘密の場所にしまっておきましょう、というわけです。
絶対に見られてはいけない、忘れてもいけないPDFもしくはプリントアウトした紙ができてしまうので、その管理はちゃんとする必要があります。
プリントアウトして、PDFを消去し、紙は家の中の大事な書類入れにしまっておいたほうが、ネットからは切り離されるので、安全でしょう。同居人対策は・・・その家の課題ということで。

LastPass

「LastPass」のマスターパスワードは、長さは8文字以上、上限はなし。文字種に関しても混在は不要です。
よく使われるパスワードの排除、いわゆる「辞書攻撃」への対策は、一応されてはいるようですが、本当に有名なパスワードにしか対応していないようで、「P@ssw0rd」のような文字の置き換えを排除していなかったりしますので要注意です。
マスターパスワード以外の非常に多くの認証に対応しています。上記の表のなかには書き切れていませんが、PCの無料版の場合でも下記の認証用アプリを・サービスを追加することができます。

・Google Authenticator
・LastPass Authenticator
・SMS認証
・Toopher
・Duo Security
・Transakt
・Grid

プレミアムユーザーの場合はこれに加えて、

・Yubico
・Fingerprint / Smart Card
・Sesame

なども使えるようになっています。
たとえマスターパスワードが漏洩しても、上記のアプリやサービスの認証も突破しないとパスワードが他人には漏れないというのは心強いですね。
なお、iPhoneではTouchID/Face ID、Androidでは4PIN/指紋といったマスターキー解除方法が使えます。

Password Manager

一時、高木浩光氏がツイッターで話題にしていた「Password Manager」です。これらのツイートをせぐなべ編集が見たのが、この記事作成のきっかけとなりました。
今回、筆者の使用したバージョンでは、辞書攻撃対策はされているようです。
文字種の混在については、混在を推奨するような注意が表示されるものの、実際には混在させる必要はなくなっています。
ただし、「最大で20文字以内で作らなければならない」という点は変わっていません。攻撃する側に20文字以内だという情報を与えてしまっているとも言えます。
また、PC版では起動時に、トレンドマイクロアカウントにログインした後で、Password Managerのマスターパスワードを入力させられる仕様になっています。
※iOS版は、AppStoreからの配信停止中（2018年9月13日追記）

Dashlane

筆者が今回、ちょっと怖いと思ったアプリはこの「Dashlane」です。
マスターパスワード登録に最低数字1つ、大文字1つ、小文字1つをふくみ、8文字以上である必要があります。が、辞書攻撃対策はされていないのです。
しかも、マスターパスワードの入力に21回以上失敗した場合も次回以降の入力プロンプトの表示が遅くなるだけでロックアウトなどはされません。
他の機能としてはChrome拡張の機能があったり、VPNに対応したりとプライバシーに関して便利に機能が豊富でよいアプリだと思うのですが、このマスターパスワードの扱いひとつで、初心者にはお勧めできないアプリ扱いになってしまっています。

Keeper

「Keeper」は、マスターパスワードには6文字以上の任意の文字を設定することができますが、辞書攻撃対策はされていません。なので、意識してランダム性のあるパスワードを登録する必要があります。
パスワードを間違えた場合は、3回間違えると2分間操作がロックされるペナルティが操作者に課せられます。
Keeperのマスターパスワード設定が簡易なのは、その他の認証方法が整っているからかもしれません、YubicoのYubikeyを使った二段階認証や「セキュリティ認証用の質問」があったりします。また、スマートフォン版の場合、Androidでは腕時計型のAndroid Wearを、iPhoneの場合はApple Watchを付けて近づけばロックが解除できるという機能があり、これは便利そうです。なにしろタッチすらせずに次々とID、パスワードが必要なページを開くことができるわけですから。
ただ、いずれにせよ初心者にはお勧めしづらいですね。

【カテゴリ2】アプリのみ

アプリ内にパスワードデータが保存される場合は、そのアプリのインストールされた端末を持っていて、かつマスターパスワードを持っていないとデータにアクセスできないので、すでに「二要素認証」になっていると言えます。また、スマホがロックされていれば、その解除用パスワードや生体認証を突破する必要もあります。
なので、4桁の数字（PINコード）をマスターパスワードにしているものばかりです。
ただし、iCloudなどのクラウドサービスにデータを保存する機能がある場合、そのクラウドサービス用のパスワードをちゃんとしておかないと危険ですので、注意しましょう。

PassManager

普段は数字4桁のみで解錠ですが、この4桁のマスターパスワードを忘れてしまった場合指紋認証(TouchID)で解錠することができます。これはiPhone/iPadアプリ専用の強みと言えるかもしれません。

Password3

何度マスターパスワードログインを試しても、ロックや、データ初期化といったことが起きません。何度でも試せてしまいます。試行が一定回数以上になると利用者の顔写真や使用している場所が記録されるとはいえ、たった4桁の数字をマスターパスワードにしてこれでは安全であるとは筆者には思えません。スマホ自体をロックしておけば良いという思想なのでしょうか。
一定回数の失敗の後はロックされるなどの機能があったほうが良いのではないのかと思います。

Login Box Pro

初期状態だとマスターパスワードなしで使用でき、後からオプションでマスターパスワードを設定できます。4桁数字の暗証番号か、英大小文字・数字・記号で文字数無制限で作成するかを選択できます。
入力失敗したときの挙動も設定可能ですが、かなりシビア。9回入力に失敗するとiPhone内部に登録したデータを消してしまいます。当てずっぽうで他人が試すのはおろか、自分で試してみても消してしまいそうな回数ですね。
そのような人のためにはTouch IDでのパスコード解除もできるようになっています。ただし、マスターパスワードを登録していないとTouch IDは有効にできません。

【カテゴリ3】特殊型

そもそもパスワードの確認にマスターパスワードなどの認証を経由しないパスワード管理アプリが「PassClip」です。
5×5マスの格子状のマス目の中の4マスの位置と順番「パターン」を登録し、ダミーを含めた5×5のマス目から、パターン順にマス目内の文字をつなげてパスワードを判別するという仕組みで、他人にパスワードがバレないようにしています。

PassClip

4桁の数字は10,000通り。それに比べると5×5マスのパターンは、303,600通りなので、4桁数字のマスターパスワードよりは強いといえます。また、スマホを持っていないと確認できないので、二要素認証になっていると言えます。ただし、あまりに長時間、他人にパスワード表示画面を見せてしまうのは避けたほうが良いでしょう。
また、クラウド上にパスワードを保存しており、端末間のデータの引継ぎの際には、パスワード代わりにパターンの入力で行います。この場合、303,600通りでは心許ないです。
なので、データ引継ぎ時の追加パスワードとして、リストアキーを設定する機能がありますので、これを設定することをおすすめします。
リストアキーは、登録する文字列のことで、簡単に言うとパスワードのことです。英大文字・小文字・数字・記号が利用可能で、文字種・文字数の制限もありません。
登録したリストアキーをメールで送信する機能もあります。利用した場合は、このメールを誰かに見られないように、ちゃんと管理しておきましょう。
また、リストアキーを再登録する際に空欄で設定するとリストアキーは削除されますので、注意してください。

終わりに

今回は、パスワード管理アプリを「強い認証が設定できるか」「弱みはないか」という観点からレビューしました。
現在では、強いパスワードは、（異論はいくつかありますが）「いかに長いパスワードか」「出回っているパスワード辞書に登録されているような単語が含まれないか」「他で使っているのと同じものではないか」が要件であると言われています。
くれぐれも使っている各サイトには異なるパスワードを設定しましょう。そして、パスワードの使い回しを防ぐために便利なアプリが、パスワード管理アプリです。
パスワード管理アプリの認証は他人に破られない必要があります。
パスワード管理アプリも「強い」認証・マスターパスワードで、固く守りましょう！

※記事中に記載されている、会社名、製品名、ロゴ等は、各社の登録商標または商標です。