パスワード 
Wi-Fiのパスワードを安全に共有することは、ネット
パスワードマネージャーに関しては、リスクが高すぎて信用できない、ベンダーはシステム停止に対処できない、デバイス側から攻撃されるリスクがある、単一障害点と見なされるなど、よくある誤解がいくつかあります。 知名度の高いセキュリティインシデントにより、パスワードマネージャーを使用した場合の安全性を疑問視する声もありますが、サイバーセキュリティの専門家や組織、政府機関は、安全対策としてパスワードマネージャーの使用を依然として推奨しています。
この記事では、パスワードマネージャーの使用に関する4つのよくある誤解を解き明かし、パスワード管理ソリューションのセキュリティを最大限に活用するためのベストプラクティスをご紹介します。
誤解1:パスワードマネージャーはリスクが高く、信頼性に欠ける
パスワードマネージャーはリスクが高いのではないか懸念を、特にLastPassのデータ漏洩事件発生後によく耳にするようになりました。 これらの懸念を持つこともあるでしょうが、パスワードマネージャーがすべて同じではないことも忘れないでください。 実際、パスワードマネージャーはパスワードを書き留めたり、複数のアカウントで同じパスワードを再利用したりするなどの従来の方法よりもはるかに強力なセキュリティを提供します。
誤解を解消
パスワードマネージャーはリスクが高すぎて信用できないという誤解は、1つのまれなセキュリティインシデントに基づいています。 パスワードマネージャーを選択する際には、そのセキュリティと評判を徹底的に調査し、データを保護するために最も安全なソリューションを選択することが重要です。
最良なのは、ゼロ知識を採用しているパスワードマネージャーです。ゼロ知識では、ユーザー自身以外が保存されたデータにアクセスすることはできません。たとえベンダーであってもです。 さらに、ゼロトラストソリューションを選択すると、信頼できるユーザーやデバイスは存在しないという想定のもとにセキュリティが優先されます。 このため、保存されたパスワードへのアクセスを得るためには、継続的な検証が必要となります。 例えば、Keeperにはデバイスレベルの承認と呼ばれる機能があります。 デバイスレベルの承認では、Keeper Vaultへのアクセスを試みるすべての新しいデバイスは、アクセス権を得る前に明示的に承認される必要があります。 ユーザー自分または他の誰かが新しいデバイス上からボルトにアクセスしようとした場合、そのデバイスはアカウント所有者、既存の信頼できるデバイス、または管理者(企業環境の場合)のいずれかによって承認されなければなりません。 二要素認証(2FA)や生体認証などの機能が、ボルトを侵害からさらに保護します。
誤解2:パスワードマネージャーベンダーはシステム停止に対応できない
パスワードマネージャーのベンダーはシステムの停止に対応できないという誤解は、最近LastPassが経験した12時間のシステム停止に起因していると考えられます。 この事象により、サービスの可用性に対する懸念が高まり、クラウドベースのパスワードマネージャーがダウンすると、ユーザーはアカウントからロックアウトされる可能性があるという考えが広まりました。 多くのパスワードマネージャーがクラウドベースであることは事実ですが、優れたパスワードマネージャーには、障害に対応し、ユーザーが確実にパスワードにアクセスできるようにする機能が組み込まれています。
誤解を解消
信頼性の高いパスワードマネージャーのベンダーはオフラインアクセスモードを提供しています。このモードでは、障害時やインターネットに接続できない場合でも、ユーザーは任意のデバイス上から自分のボルトにアクセスできます。 オフラインアクセスが機能するにあたり、ローカルデバイス上にボルトの暗号化されたコピーが作成されます。 ボルトのデータは暗号化された形式で保存されるため、ローカルバックアップにアクセスする唯一の方法として、マスターパスワードを入力するか、生体認証を使用する必要があります。 オフラインアクセスは確実な代替手段となりますが、そもそもその必要性を最小限に抑えるためには、サービス可用性の高いベンダーを選択することが重要です。 例えば、Keeperは99.99%のアップタイムを維持しています。この数値はステータスページで確認できます。
誤解3:パスワードマネージャーによってデバイス側攻撃のリスクが増加する
これは、LastPassなどのパスワードマネージャーは、デバイス側のコンポーネントを実行するため、攻撃対象領域が拡大することになり、デバイス側攻撃のリスクが増大するという誤解です。 しかしながら、すべてのパスワードマネージャーがこのように動作するわけではないことを理解しておくことが重要です。
誤解を解消
最も最良かつ安全なパスワードマネージャーはゼロ知識を採用したもので、このようなパスワードマネージャーは、キャッシュされた認証情報などのデータを同期してローカルに保存するような、デバイス側のコンポーネントを実行しません。 例えば、Keeperではゼロ知識アーキテクチャを採用しており、すべてのデータをクラウドにアップロードする前にデバイス上でローカルに暗号化することでデバイス側攻撃を防止します。 この機能により、サイバー犯罪者がデバイスにアクセスできたとしても、データは暗号化された形式で保存されているため、アクセスすることができません。 Keeperでは、暗号化されていないデータがローカルに保存されることも、キャッシュされた認証情報が同期されることもありません。 悪用される可能性のあるデバイス側のコンポーネントに依存しないため、Keeperでは攻撃対象領域が大幅に縮小され、お客様のデータは常に安全に保たれます。
誤解4:パスワードマネージャーだけでは十分ではない
パスワードをパスワードマネージャーに保存しても、アカウントを保護するには不十分だという批判的な意見もあります。 強力なパスワードであっても侵害される可能性があることは事実ですが、アカウントのセキュリティという面では依然として重要です。 だからこそ、使用するすべてのアカウントで強力かつ一意のパスワードを使用し、多要素認証 (MFA) を有効にして、オプションを利用できる場合にはパスキーに切り替えることが重要です。
誤解を解消
パスワードだけではアカウントを保護するには不十分であることには同意しますが、だからといって、パスワードマネージャーの使用がアカウントの保護には不十分というわけではありません。 Keeperなどのパスワードマネージャーは、フィッシング対策となる優れた多要素認証 (MFA) やパスキーをサポートしており、パスワードだけに頼る依存度をさらに軽減することができます。 パスワードレス認証への移行が理想的ですが、Keeperなどのパスワードマネージャーは、認証情報を安全に保存および管理する上で重要な役割を果たします。 パスワードが侵害された場合でも、多要素認証 (MFA) などの追加のセキュリティ層と組み合わせて使用することが可能です。 さらに、パスキーにも対応しており、ユーザーはパスワード管理ソリューションの利便性とセキュリティのメリットを享受しながら、従来のパスワードベースの攻撃から生じるリスクを排除することができます。
パスワードマネージャーを使用するのベストプラクティス
パスワードマネージャーのセキュリティを最大限に活用するには、以下のベストプラクティスに従うことが重要です。
- 強力な暗号化と実績を備えたパスワードマネージャーを選ぶ:パスワードマネージャーを選ぶ前に、そのベンダーが消費者のデータを保護するにあたり、どのようなセキュリティと暗号化を採用しているのかについて調査することが大切です。 さらに、そのベンダーの信頼性を保証する確かな実績があるのか、またハッキングの被害があったのかどうかについても確認してください。
- 強力かつ一意なマスターパスワードを作成し、2FAを有効化にする:パスワードマネージャーを使用する際には、ボルトを保護するためにマスターパスワードを作成する必要があります。 このマスターパスワードは強力かつ一意のものにし、ボルトでは2FAを有効化して、さらなるセキュリティ層を追加するようにしてください。
- 可能な限りアカウントでMFAを有効にする:パスワードマネージャーは強力でユニークなパスワードを作成するのに役立ちますが、アカウントをさらに保護し、侵害を防ぐためには、可能な限りMFAを有効にすることが重要です。
結論
データのセキュリティについて懸念を抱くのは当然のことです。 だからこそ、調査して、最も信頼性が高く安全なパスワード管理ソリューションを選択することが重要となります。 Keeperでは、セキュリティモデルとユーザーのデータを保護するために講じている対策に対して、透明性を確保できるように優先しています。
Keeperが市場で最良の最も安全なパスワードマネージャーである理由について、興味がありますか? 今すぐ無料トライアルをお試しください。
