私は不安障害なので、ネット上の各種サービスを使うのにも不安を感じます。実際にセキュリティ面に不安を感じる出来事もありました。
- 自分が過去使っていたパスワードがスパムメールで送付される(参考:件名・本文に本物のパスワード 新手の脅迫メール出回る)
- 身に覚えの無い2段階認証のメールが複数回届く
どちらもメールアドレスとパスワードが流出し、しかも合致しているケースです。怖すぎる。特に2番目のケースは、二段階認証を設定していなかったらログインされていましたね。
しかしながらセキュリティを高めようとして利便性を犠牲にするのもツラいので、どうしよう……と悩んでいました。が、このたび「やりすぎセキュリティ」というサイトを参考にある程度安心できるセキュリティを手に入れました。
「詳しい人の名アイディアをよくわからないままパクってセキュリティを向上させよう」という趣旨の、セキュリティに詳しいサイトです。タイトル通り「これでもか」というほどセキュリティを高めるアイディアが書かれており、不安障害の人間にとっては救世主のようなサイトです。
このサイトを元に、
- 2段階認証にはできるだけAuthy
- パスワードはパスワード管理ソフトで1サイトごと別に設定(使い回さない)
としました。これでいくらか安心できるようになりました……。
2段階認証にAuthy
2段階認証、使ってますか? 最近あちこちで2段階認証を要求されますね。意義がわからないと感じる人もいるようですが、私は冒頭で書いたように2段階認証が無かったら危なかったので、絶対に導入したいと考えています。
元々はWordPressのセキュリティを心配していたのですが、そのときにたどりついた以下の記事でAuthyを知りました。
元々Google認証アプリやマイクロソフトの認証アプリは使っていたのですが、複数のアプリを使うの不便だなぁと思っていました。またスマホが死んだら2段階認証も使えなくなるリスクが不安でたまりませんでした。(以前とあるサービスで2段階認証アプリを設定していたときにスマホが死亡して苦労したのです)
2段階認証アプリについて「やりすぎセキュリティ」さんで解説しているページをいくつか読んで思ったんですよ。Authyいいじゃん……って。
というわけで私も使うことにしました。英語のアプリなんですが、私は多少の英語は読めるのでそんなに苦にならないです。
ちなみにAuthyはAndroid、iOS、Windows、MacのほかChrome拡張があります。私の環境(Windows10 64bit&Windows7 64bit)ではChrome拡張がうまいこと動かなかったのですが、AndroidとWindowsアプリはばっちりです。
パスワード管理にBitwardenとKeePass
なぜパスワード管理ソフトが必要か。それは複数サイトでパスワードを使い回さないためです。
- パスワードを1サイト1つにすると、膨大になりすぎて覚えきれない
- パスワードを使い回すと、流出したとき全てが終わる
という理由によります。
パスワードは自分に流出させる気がなくても、いつの間にかどこかから流出しています。登録先のサイトが攻撃されるなどして流出することがあるのです。私が過去に使っていたパスワードもいくつか流出したようで、冒頭のようにスパムメールが来たり不正アクセスされかけたりしました。
ところで、私は長年Googleアカウントにパスワードを記録していたのですが、「Googleになにかあったらパスワードが全流出して終わるんじゃ……?」という不安に駆られていました。
それに加えて、実はずっとPCに平文でパスワードをメモして使っていました。複数デバイスで共有しづらいのと閲覧が容易なのとでどうすべきか悩んでいました。
そこで見つけたのがパスワード管理ソフトの記事!
そういえば以前も1Passwordの話を聞いたことがあったのですが、その頃は導入していなかったんですよね。
「やりすぎセキュリティ」の各関連記事を読んでいてKeePassの高いセキュリティに惚れて使ってみようとしたんですが、不便で断念しました。そしてBitwardenを試してみたら使いやすくて最高だったので定着、というわけです。
が! パスワードを保存しているBitwardenに2段階認証のバックアップコードは保存できません。機能的には可能ですが、セキュリティ的に問題が大きいです。印刷して保存しておくのがベストなのですが、「盗まれたらどうしよう……持ち歩いて紛失したらどうしよう……」と不安が強いので、それもなんとかならないかと悩んだ末、
- ログインパスワード:Bitwarden
- バックアップコード等や別管理したいパスワード:KeePass
という使い分けになりました。これが安全なのかは知らない!
BitwardenとKeePassのマスターパスワードは私の脳内に保存しています。何回か入力しているうちに覚えました。
なお、Googleアカウントのパスワード管理機能については、そんなに心配することもなさそうというのは同じく「やりすぎセキュリティ」さんの記事で思いました。これ見てやっとGoogleアカウントにも2段階認証が設定できることに気づきました……。2段階認証を強要してこないサービスだとしばしば存在に気づかないです。
「別管理したいパスワード」とは
私がKeePassに保存することにした「別管理したいパスワード」とは、ネットバンクなど絶対流出させたくないパスワードの類です。
例えば某ネットバンクはIDのみBitwarden(ランダム文字列にしているため)、パスワードはKeePassに保存しています。
煩雑ですが、それで安心感が手に入るのです。正直ここまでする必要がないと思う。
ネットバンクのパスワードでも覚えることができているものは覚えていますが、覚えることを放棄したものはKeePassに放り込むことにしました。
KeePassのクラウド選択
KeePassはデータベースとキーファイルを任意の場所に保存できますが、それがかえってわかりづらくなっている一因のような気がします。セキュリティは抜群に高いのですが……。
詳しくは「やりすぎセキュリティ」さんの記事が詳しいのですが、私はデータベースをSync、キーファイルをDropbox(K2PAフォルダ)にしました。
しかしながら「スマホを落として紛失」という事態を一度経験したことがあるため、KeePassはスマホからはログインできないようにしてしまったほうが自分の不安解消のためには良いです。私の使い方ではKeePassが必要な取引をスマホではしないことが何ヶ月か経ってわかったので、後々スマホからはアンインストールし、PCからのみ使うようになりました。
まとめ
- 2段階認証は不正アクセス防止に効果的! バックアップ機能も充実したAuthyが便利
- パスワード管理ソフトを使うのは、万が一パスワードが流出しても被害を最小限にするため。Bitwardenが使いやすくオススメ
「やりすぎセキュリティ」さんのAuthy、Bitwardenの解説記事を改めてリンクします。皆さんのネット生活にも安心が訪れますように。
