【1Password】パスワード管理の安全性 | トンボのようにまっすぐ進んでいたい

Contents

1Passwordとは

1Passwordとは、パスワード管理に特化したクラウド型サービスです。

カナダのAgileBits, Inc.という会社が提供しています。
世界で10万社以上がパスワード保護のために導入している実績があります。

もちろん、企業だけでなく個人でも使えますしパスワード管理の煩雑さを軽減してくれる点で必須のツールと言っても過言ではありません。

自分も普段から愛用していますし、間違いなく最も使っているアプリケーションの一つです。
PC版だけでなく、スマホアプリ版もあるので、デバイス間の連携も非常に便利です。

一度使ったら便利すぎて元に戻れません。

1Passwordはパスワード管理に特化したサービスのため、コア機能はセキュリティです。

企業や個人のパスワード情報を一元管理するものなので、セキュリティがどのように担保されているのか気になりますよね。

1Passwordはエンドツーエンドで暗号化された情報を通信するため、サーバとの通信時にパスワードが漏洩する心配はありません。
インターネットを通る機密情報は、全てSRPというプロコトルに従って暗号化された状態になります。

RedHatのセキュリティガイドによると、SRPは以下のように定義されています。

Secure Remote Password (SRP) プロトコルは Internet Standards Working Group Request For Comments 2945 (RFC2945) で記述された公開鍵交換のハンドシェイクの実装です。

はい、よくわかりませんね。

ざっくり説明すると、SRPとは公開鍵暗号という方式の暗号化技術を用いた通信方法の一つです。

例えばAさんがBさんに、Bさんだけが解読できる暗号で書かれた手紙を渡すことを考えます。
この場合はAさんとBさんの間でしか意思疎通が成立しませんね。

もし、この手紙を暗号を解読できないCさんが拾って読んでも秘密が漏れることはありません。

かなり単純化しましたが、このようにサーバ通信時のセキュリティは保たれています。

しかしこの例え話では、Cさんが拾った手紙の暗号法則を時間をかけて調べればいつか解読されてしまうかもしれません。

1Passwordは、AES-256という暗号化アルゴリズムを採用しています。

このアルゴリズムはNIST（米国国立標準技術研究所）によりアメリカの標準暗号として認められています。

これまでどのような攻撃にも屈しておらず。現在最強の暗号方式の一つです。
（ちなみに、256という数字は暗号化に用いる鍵長が256bitであることに由来しています。）

このアルゴリズムを通して暗号化してあるおかげで、Cさんに暗号を解読される心配をせずに通信を行えるわけです。

1Passwordアカウントのデータを解読するためには、マスターパスワードの他にSecret Keyが必要です。

Secret Keyは、ダッシュで区切られた34文字の英数字の羅列です。

攻撃者がユーザーのマスターパスワードを入手してアカウントにログインを試みたとしても、Secret Keyがなければ暗号化されたデータを解読できません。

ユニークでランダムなものが良いパスワードとされていますが、1Passwordではそのようなパスワードを自動生成してくれます。

ユニークでないパスワードが1つでも漏洩した場合、ハッカーなどの攻撃者は同じパスワードを同じユーザーの他のアカウントでも試します。

もし同じパスワードが他のアカウントでも使用されていた場合は簡単に侵入されてしまいますね。

また、パスワードはランダムなものである必要があります。

パスワードに解読できるパターンがある場合は、コンピュータによるクラッキング攻撃により総当たり的な攻撃（ブルートフォース攻撃）が成立してしまいます。

例えば、パスワードに特定の英単語「apple」を含んでいる場合、aの次にpがきてlの次にeがくることが簡単に推測できてしまいます。

このように、1Passwordはあらゆる手段でセキュリティを高める工夫がされており、安心してパスワード管理を任せられる優流なアプリケーションです。

セキュリティの話は理解しづらいところもありますが、理解して使うことで自分の安全を確保することにもつながります。

このようなツールを駆使して安心してインターネットを楽しみたいですね。