津村流パスワードマネジメント-大事な個人の情報を守る為に

ども、Akira Tsumuraです。部屋をデータセンタ並みに冷やしすぎて足がむくんできた今日この頃です。ちなみに汚部屋(わざとこう呼んでいます)は自宅とラボルームを兼ねているので、いつも程よく冷やしつついかにPUEを下げるかを考えながら生活しています。

さて、色々パスワードマネジメントをいい加減考えなければいけない今日この頃です。最近パスワードに関する事故を経験したので、ここに記しておきます。
本来一番良いのは乱数に近いもの(予測できない文字列)であり、定期的な変更が出来れば最適です。しかしヒトの脳でユニークな乱数を覚えるのも生成するの無理は話でして、(笑い話ですが)「パスワード生成ツールが無い時にはエディタを開いてキーボードを手の平で乱れ撃つ」という荒業もやっていました。
さて、ここでは自分がいくつかにTire(階層)に別けて、いかに端末をセキュアにしているかご紹介したいと思います。

Tire1 – クライアント端末の認証および暗号化

まさかクライアント端末のパスワードが数字だけとかディクショナリで当てられるとかいう方はレキサスには居ないと思いますが(居たら先生怒らないからパスワード変えなさーい)、最近はiPadのPINコードをショルダーハックされて2歳児が親の知らない間にYouTubeでアンパンマンを観ているという見聞きもしており(笑)、時間は変わったのだと知らされます。
(なお、Touch IDも寝ている間に真似されているとかいう噂も…)

まず、最強なのはTouch IDやWindows Helloといった生体認証デバイスを使う事でしょう。Touch IDや指紋認証は普通になりつつありますが、Windows HelloはKinect同等のデバイスを内蔵した端末(新しいSurfaceなど)で、顔認証する技術です。
僕のWindows Tabletは指紋認証もWindows Helloも対応していないので、ピクチャパスワードとPINを組み合わせて使っています。Windowsのパスワードはまず入力しません…。

あとは言うまでもないと思いますが、Active Directoryで認証・認可した後はSSOでファイルサーバやOffice 365といったリソースを利用できます。また併せてActive DirectoryはLDAPの拡張実装であるため、VPN装置などLDAPを用いた認証を行うデバイスに対し認証・認可を行う事が可能です。

Windows10のPIN認証は安全か

Windows10で導入されたPIN認証は、(ショルダーハックには弱いですが)Active Directoryを使用している際にトークンに対しPIN認証を掛ける為、他の端末でセッションを使いまわすことが出来ない事が挙げられます。よって、端末の紛失などの際に他社員のPINを入力しても、その端末は本人以外のトークンを知らない為、本人でなければ認証する事が出来ません。

PIN がパスワードよりも優れている理由 – Microsoft Windows IT Center

マスストレージデバイスに対するBitLockerについて

なお、持ち歩いているデバイス(Windows Tablet・iPhone)については、BitLockerといった暗号化をストレージに対して設定している他、無償で可能な限りの遠隔消去等の設定(icloudなど)を行っています。
(仕事で使うデバイスに対しては至極当たり前の事なのですが・・・。)
さて、BitLockerは内臓ストレージにのみ適用する場合が多いのですが、最近はUSBメモリなどマスストレージデバイスに対しても暗号化を掛ける事ができます。もちろん遅くなりますが、ポイントとして他のWindows10マシンに挿入した場合、キーにより都度復元が可能な事です。また、頻繁に利用するマシンにはキーを保存する事もできます。

BitLocker To GoでUSBメモリを暗号化する – @IT

Tire2 – マスタパスワードの管理

ここで言うマスタパスワードとは、Microsoftアカウント、iCloud、LastPassといった認証の要となるパスワードを指します。よくここでディクショナリアタックなどにより乗っ取られてしまう事があるようです。しかし、マスタパスワードなので覚えないわけにはいきませんよね。

マスタパスワードを要求される場合、併せてMFA(多要素認証)を有効にします。iCloudに関してはiOS自身で多要素認証の機能が最近実装されており、iOS自身がMFAデバイスとして機能します。また、併せてAuthyといったMFAアプリを使用しています。
(AuthyではMFAのバックアップに対応している為、端末故障時に泣かなくて済みます)

Authy – Website

Tire3 – 各サービスへのパスワード代理入力

以降、ウェブサービスなどで実際にパスワードを生成して入力していく訳ですが、基本的にブラウザ等のキーチェンを使わず、すべてLastPassというパスワードマネジメントツールに委ねています。これにより、エージェントが対応している限り、OS・ブラウザを問わずパスワードマネジメントが可能です。

LastPassとは

パスワードマネジメントツールであり、Windows・iOS・Androidなどの各種デバイス、およびMicrosoft Edge・Internet Explorer・Firefox・Google Chromeといった各種ブラウザにエージェントがリリースされています。
また、データセンタ上にはマスタパスワードで暗号化された状態で保存される為復元する事が不可能な他、ウェブページやエージェントのMFAによる多要素認証にも対応しています。
(自分はiPhoneのTouch IDと組み合わせて認証しています)
LastPassは100文字までのアルファベット・数字・記号による乱数の生成および管理をする事ができ、各々のサービスのパスワード事情(苦笑)に応じて複雑なパスワードを生成管理してくれます。
併せて、LastPassで有効的に利用している機能の1つにフォーム自動入力があります。これは住所・クレジットカード番号などをある程度自動的に入力してくれる機能ですが、これによりクレジットカードを物理的に参照する機会が減り助かっています。
個人向けに無償アカウントもありますが、有償でも年間12ドルなので、自分は課金をしています。更に上位プランでは、アカウント間でパスワードのセキュアな共有が可能になる等のメリットがあります。

類似のものに1Passwordなどありますが、日本語化の対応および対応デバイスの多さ、そして実際に使った感覚で判断しました。

LastPass – Website

さいごに – 楽にセキュアにしよう

先日、ある窓口で「お店の端末にパスワードを入力して下さい」と言われて「そういえば何だっけ」という感じでLastPassを起動したのですが、最終的にそれが平和的解決なのかな、と思います。
そもそも「パスワードは覚えられない」「パスワードは忘れる」これをキーにすると、ある程度のリテラシーを持ち合わせる方には楽にセキュアに出来るのではないでしょうか。

自分の師匠の一人は、過去のパスワードを数珠繋ぎにしていって50文字ほどのパスワードを暗記してActive Directoryのパスワードにされていましたが、鶏頭の自分にはそういう運用は無理なので、出来る限り文字以外の認証手段(生体認証・ピクチャパスワード)に置き換えるようにしています。

自分の師匠の一人である、安来苑の安藤さん(a.k.a きどーたいさん、90年代にフレッツISDNが待てなくて、DA64とCiscoと自宅鯖で頑張っていた方)の言葉が忘れられない(当時、津村18歳)ので記しておきます。
「破られないセキュリティは無いが、他人が突破したくない環境は作れる。(意訳)」

p.s.
安来苑さんの、なし崩し的に作った(笑)天然温泉による大浴場はとても気持ち良いです。
米子空港から1時間ほどなので、よかったらリフレッシュにどうぞ!!!(宣伝)