パスワード管理アプリは何十年も前から存在している。最近では、オンライン認証情報を効果的に管理できるアプリが多数あるが、基本的な仕組みはすべて同じだ。ユーザー名やパスワードなどの機密情報がデータベース(保管庫と呼ばれることが多い)に保存され、強力な暗号化で保護されるというものだ。その保管庫のロックを解除するには、マスターパスワードを入力する必要がある。
事実、このモデルは広く浸透しているため、この分野のいくつかの主要製品には、そこからヒントを得た名前が付けられている。例えば、「1Password」は、覚えておくパスワードは1つだけで、何十個も何百個も覚えておく必要はないとうたっている。「LastPass」は、マスターパスワードが「今後必要な唯一のパスワード」になるとしている。
この分野で最も優秀な製品は、マスターパスワードを入力してパスワード保管庫のロックを解除する仕組みの代わりに、パスワードレスのオプションを提供している。多くの場合、それは、信頼できるデバイスで生体認証(顔認識や指紋ID)やハードウェアキーを使用することを意味する。ただし、いずれの場合も、予備の復号化手段としてマスターパスワードも引き続き利用できる。
そのため、すべての認証情報をパスワードマネージャーで管理することに不安を感じる人もいる。マスターパスワードを誰かに盗まれてしまうと、オンライン上での自分の存在を丸ごと乗っ取られる恐れがあるからだ。多要素認証を使用すると、攻撃の難易度を大幅に高めることが可能だが、構造上、マスターパスワードが弱点であることに変わりはない。
しかし、マスターパスワードを完全になくし、信頼できるデバイスだけを使用してユーザー認証を実行することが可能になったら、どうだろうか。現在このオプションは、「Dashlane パスワードマネージャー」で新しいアカウントを作成すれば、誰でも利用できる。ライバルの1Passwordも、同様の機能をテストできるパブリックベータ版を提供中だ(ただし両者とも、既存の個人アカウントを持つユーザーやビジネスアカウントの設定を希望するユーザーが自分のアカウントを完全にパスワードレスにしたい場合は、少し先まで待つ必要があるという)。
マスターパスワードは完全に捨て去るべきだろうか。その体験がどんなものかを確認するため、筆者は思い切ってDashlaneと1Passwordの両方で無料のテストアカウントを設定してみた。
結論を先に言うと、パスワードレスのパスワードマネージャーが今後普及することは間違いないが、現時点では、高度な専門知識を持つユーザー以外は利用しない方がいいだろう。
どちらの製品も、パスワードレスのアカウントを有効にする手順はよく似ている。Dashlaneの場合、最初にモバイルデバイス(「iOS」または「Android」)にDashlaneアプリをインストールした後、ユーザー名となるメールアドレスを使用して、パスワードレスのオプションを利用する個人アカウントを新たに設定する(メインのメールアドレスを使用する必要はないが、設定を完了する前にアドレスの確認を求められる)。
1Passwordでは、モバイルまたはデスクトップ向けのリンクを使用して、パブリックベータに参加する必要がある。個人アカウントを新たに作成したら、プロンプトに従ってパスキーを作成できる(「iPhone」のユーザーは、パスキーの保存場所として、「iCloudキーチェーン」を設定しておく必要がある。Androidデバイスのユーザーは、このまま読み進めてほしい)。
上記の作業が完了したら、既存のパスワードをインポートしたり、新しいパスワードを追加したりすることが可能になる。ここで重要なのは、マスターパスワードを使用しなくても、ほかのデバイスでパスワード保管庫へのアクセスを設定するのに使用できるデバイスができたということだ。
最新のパスワードマネージャーは暗号化されたパスワードデータベースをクラウドに保存するため、デバイス間で認証情報を同期して共有することが可能だ。Dashlaneと1Passwordでは、追加デバイスを設定する作業に対して、大きく異なるアプローチを採用している。
AndroidデバイスでパスワードレスのDashlaneアカウントを設定した後、iPhoneや「iPad」「MacBook Air」、「Windows 10」や「Windows 11」を搭載している複数のPCなど、ほかのデバイスを設定するのは簡単だった。その手順は以下の通りだ。
モバイルデバイスでは、Dashlaneアプリをインストールする。PCとMacでは、Dashlaneのブラウザー拡張機能をインストールする。その後、アカウントに使用しているメールアドレスを入力して、サインインを行う。すでにサインインしているデバイスにて、Dashlaneアプリで「Settings」(設定)>「Add New Device」(新しいデバイスを追加)の順に移動し、サインインしようとしているのが本人であることを確認する。
新しいデバイスにて、電子フロンティア財団(EFF)の「Large Wordlist for Passphrases」(パスフレーズ用の長い単語リスト)からランダムに取得した5つの単語のうち1つが抜けたセキュリティチャレンジが表示される。すでにサインインしているデバイスにも5つの単語が表示されるので、抜けている単語を入力して、「Confirm」(確認)をタップすると、新しいデバイスが設定される。
1Passwordのベータ版を使用する場合の作業も同じくらい簡単だと言えればいいのだが、まったくそうではない。少なくも、筆者のクロスプラットフォーム環境では、決して容易ではなかった。1Passwordの場合、パスワードレスのログインを有効にするのにパスキーを使用するため、デバイス間でパスキーを共有する方法が必要になる。
AppleのiCloudキーチェーンを有効にしている場合、MacやiPhone、iPadでパスキーを共有するのは非常に簡単だが、Windows PCやAndroidデバイスでは問題が発生する。その証拠に、1Passwordのサポートページでも、「Windows 11 22H2」以降が必要であること(残念ながら、Windows 10はサポート対象外だ)、そして、「サポート対象のAndroidバージョンでも、デバイスによっては、1Passwordアカウントのパスキーの保存がサポートされていない場合がある」ことが記載されている。
QRコードを使用してiPhoneを設定するのは問題なかった。だが、Mac版の「Microsoft Edge」で1Passwordの拡張機能を設定しようとしたときは、6回チャレンジする必要があった。まず、所持しているサムスンのスマートフォンにパスキーがないことを1Passwordに説明しなければならなかった。その後、QRコードが表示されたので、iPhoneでそれをスキャンし、キーチェーンのパスキープロンプトを有効にした。次に、操作をしているのが本当に本人かどうかを確認するメッセージが表示され、承認しなければならなかった。すると、コードが表示され、ブラウザーウィンドウ上のダイアログボックスにそのコードを入力しなければならなかったが、当のダイアログボックスはほかのいくつかのウィンドウの後ろに隠れてしまっていた。
しかし、WindowsやAndroidでパスワードレスのアカウントを設定する作業のいら立ちは、段違いだった。筆者がWindows 11 PCでサインインしようとすると、以下のデフォルトのエラーメッセージが表示された。
「Google Chrome」の「パスワードマネージャー」を使用して自分のパスキーを共有できたかもしれないが、1Passwordの機能を有効にするために、ほかのパスワードマネージャーを使用することは無意味だ。
結局、パスワードレスのアカウントをアクティベートする一番の方法は、最初に使用したサムスンのデバイスで既存のアカウントを使用して1Passwordにパスキーを保存した後、新しいデバイスでマスターパスワードとシークレットキーを使用してそのアカウントを1Passwordと連携させ、そこで新しいアカウントを(ようやく)追加することだった。1Passwordでは1台のデバイスに複数のアカウントをひも付けることを認めているのでこの方法でもうまくいくが、非常に手間がかかる。このアプリがまだリリースする段階にはないと判断されているのは、そのためだろう。
しかし、筆者に1Passwordの採用を断念させた最大の問題が起きたのは、新しいパスワードレスのアカウントからパスワードをエクスポートしようとしたときのことだった。1Passwordのベータ版アプリでは、エクスポートを開始する前に、マスターパスワードの入力が求められる(もちろんこのアカウントにマスターパスワードは存在しない)。技術サポート担当者は、エクスポート機能が現在のベータ版に存在しないことを認めた。
ベータ版にはそのような問題があったため、筆者はパスワードレスの1Passwordアカウントを削除して、数カ月後にもう一度試してみることにした。一方でDashlaneは、乗り換えを真剣に検討したくなるような素晴らしい出来だった。
パスワードレスのアカウントを取得した場合、パスワードにアクセスする唯一の方法は、パスワード管理サーバーで認証情報を確認済みの信頼できるデバイスを使用して、本人確認を行うことだ。
それでは、信頼できるデバイスが1台も利用できない場合はどうなるのだろうか。おそらく永久にロックアウトされてしまうだろう。ゼロ知識証明(訳注:相手に秘密情報そのものを知らせないまま、自分が秘密情報を知っていることを相手に知らせる方法)を採用している認証情報マネージャーのポイントは、本人以外の誰も保管庫のロックを解除できない、ということだ。マスターパスワードがなければ、暗号化された保管庫へのアクセスを回復する予備手段は存在しない。
Dashlaneと1Passwordはいずれも、リカバリーキーという形で代替手段を提供している。これは、ランダムに生成された英数字コード(Dashlaneのキーの長さは28文字で、1Passwordは56文字のリカバリーキーを使用している)で、ユーザーはそれをプリントアウトして安全な場所に保管する。アカウントにサインインしているPCやモバイルデバイスがないという状況に陥ってしまった場合は、最後の手段として、キーが記された紙を保管場所から取り出して使うことができる。ただし、通常の状況で、リカバリーキーの入力が必要になることは絶対にない。つまり、リカバリーキーはフィッシングやキーロガー、そのほかのハッキングツールに対して耐性がある。
パスワードレスのアカウントが将来的に普及することに疑いの余地はないが、現時点では、まだその段階に達していない。現在のところ、正式版の製品でこの機能を提供している企業はDashlaneだけであり、しかも、新しい個人アカウントのみが対象だ。現在のパスワードマネージャーに満足しているのであれば、まだ切り替えを検討する時期ではないだろう。
筆者はDashlaneに感動したので、今回取得したパスワードレスのアカウントを何カ月か使用して、1Passwordから乗り換える価値があるか確認するつもりだ。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」