パスワードマネージャー は、複数のサービスのパスワードを安全に保存・管理するツールです。異なるサービスに強力なランダムパスワードを使い回さずに設定し、マスターパスワード1つだけで管理できるようにします。
なぜパスワードマネージャーが必要か
同じパスワードを複数サービスで使い回すと、1つのサービスから情報が漏洩した際に他のサービスへの不正アクセスにつながります(パスワードリスト攻撃)。
安全なパスワードの条件: - 12文字以上(理想は16文字以上) - 英大文字・小文字・数字・記号を混在 - サービスごとに異なるパスワード
これを人間が記憶するのは不可能に近いため、パスワードマネージャーが必要になります。
主要サービス比較
| サービス | 無料プラン | 料金(有料) | 特徴 |
|---|---|---|---|
| 1Password | なし | $3/月〜 | UIが優れている・チーム利用に強い |
| Bitwarden | あり(個人無制限) | $1/月〜 | オープンソース・セルフホスト可能 |
| Dashlane | あり(デバイス1台) | $4.99/月〜 | VPN付き・ダークウェブ監視あり |
| Googleパスワードマネージャー | 完全無料 | — | Androidと深く統合・Chromeで使いやすい |
| Appleキーチェーン | 完全無料 | — | Apple製品間でシームレスに連携 |
パスワードマネージャーの仕組み
マスターパスワードによる暗号化
保存されたパスワードはマスターパスワードで暗号化されてローカルまたはクラウドに保存されます。サービス側(1Password・Bitwardenなど)はマスターパスワード自体を知ることができない設計(ゼロ知識アーキテクチャ)になっています。
マスターパスワード
↓
暗号化キーを生成
↓
すべてのパスワードを暗号化して保存
↓
クラウドサーバーには暗号化データのみ保存
(サービス側には復号できない)
ブラウザ拡張機能をインストールすることで、サイトを開いたときに自動でIDとパスワードを入力(オートフィル)できます。スマートフォンでも専用アプリまたはOS組み込みのキーチェーンがオートフィルに対応しています。
個人での利用開始手順
- サービスを選ぶ — 無料から始めるならBitwarden・Googleパスワードマネージャー
- アカウントを作成しマスターパスワードを設定 — 絶対に忘れない強固なパスワードを設定する
- ブラウザ拡張機能をインストール — Chrome・Safariなどに対応した拡張を追加
- 既存のパスワードをインポート — ブラウザの保存済みパスワードをCSVでエクスポートして取り込む
- パスワードジェネレーターで新しいパスワードを生成 — 古い使い回しパスワードを順番に変更する
チームでの利用
小規模チームでもパスワード管理ツールの導入が推奨されます。
よくある問題: - 退職者がシステムのパスワードを知っている - 共有パスワードをSlackやメールで送信している - 誰がどのアカウントにアクセスできるかわからない
ビジネスプランの機能: - 共有Vault(金庫)でチームメンバーとパスワードを安全に共有 - 権限管理(閲覧のみ・編集可能など) - 退職時のアクセス権限の一括削除 - 監査ログ(誰がいつアクセスしたか)
マスターパスワードの管理
マスターパスワードを忘れると、ほとんどのサービスではパスワードを回復できません(ゼロ知識設計のため)。
対策: - マスターパスワードを紙に書いて金庫や安全な場所に保管する - 緊急アクセスキー(サービスごとに異なる名称)を印刷して保管する - 信頼できる人に緊急アクセス権限を付与する機能を使う(1Password・Bitwardenで提供)
パスワードマネージャーと二段階認証の組み合わせ
パスワードマネージャー自体への不正アクセスを防ぐため、マスターパスワード+二段階認証(2FA) の組み合わせが推奨されます。
多くのパスワードマネージャーはTOTP(認証アプリ)によるログインに対応しています。マスターパスワードが漏洩しても、認証アプリがなければログインできません。