トップ > 雑談 > パスワードマネージャーをどう扱うか検討します

パスワードマネージャーをどう扱うか検討します

雑談

証券会社へのハッキングが止まらない雰囲気を感じる2025年の今日この頃。

 

各証券会社は躍起になって色々対策をしていますが、我々ユーザー側も如何にパスワードを漏洩しないように管理する必要があるか、仮に漏洩したとしても防衛できる仕組みを作る必要があります。

 

ではどうすればユーザー側は問題を解決できるでしょうか。以下個人的な見解を述べます。

 

どう管理すればいいか問題

  • 全サイトパスワードを別の物で管理して、桁数もそのサイトで許される文字数を設定し、全部ランダムパスワードで記号も含める。
  • 仮にパスワードを盗まれた場合に備えて2段階認証を設定する。最も望ましいのは生体認証でのログインだが、各証券会社や取引所が対応していないため、2FA認証(Authenticator系)は入れておきたい。それも無いならメール認証は最低限入れる
  • 実はメールアカウントをハッキングされると、「パスワードを忘れた場合」経由で全て初期化されて2段階認証やら生体認証もリセットさせられる危険性があるため、メールアカウント側の設定も生体認証 or 2段階認証を設定できるアドレスに変更したほうが良い

 

要約すると、

  • パスワード複雑なのにしろ!メモるな!
  • 2段階認証or生体認証入れろ!
  • メールアドレスのセキュリティ高めろ!なんなら一から作り直せ!

 

という感じだろうか。

 

2つ目の二段階認証については、各証券会社独自のものを入れることになるため、生体認証ログインは日本の証券会社は対応してないはずなので対策自体できない。これは諦めるしかないでしょう。とりあえず何かしらの2段階認証を入れとこう。

 

2段階認証の欠点はリアルタイムでハッキングされてる場合、2FAのパスワードを入れた瞬間にハッカーもその情報を利用してログインされるというものがある。なので、生体認証の方が優位性大きい。が、証券会社が対応してなかったら意味ないので割愛。

 

最後のメールアドレスについて、こちらはハックされたらガチで終わりで、パスワード再発行とかその辺の初期化は全部メールを通して初期化されるため2段階認証とか全く意味がなくなることに気づいた。最近気づいて慌てて対策してる。

 

で、今回の議題になるのですが、パスワードを物凄いランダムにして管理するのが一番なんだけど、人力だと無理ゲーだよね。って話になるため、パスワードマネージャーを検討することになると思います。

 

パスワードマネージャーとは何なのか。

 

パスワードマネージャーとは

雑に言うとユーザーのログイン情報(ユーザー名とパスワード)を安全に保存・管理するためのツールで、良くあるサービスとしてクラウド側にIDとパスワードを一元管理してしまおう、というもの。

 

最初怖かったのですが、パスワードとかログインIDとか管理者にバレたら全部終わりじゃね?中の人が悪意持ってたら終わりじゃね?って思って調べてみたのですが、一応暗号化されたデータのみが送られるため管理者に観られてもセーフなことと、それを証明するのは、第三者監査という外部組織がゼロ知識設計で実施されているかをチェックしてるんだとか。

 

ここはもう信じるしかないし、信じられないならローカル管理することをお勧めしたい。

 

ローカル管理は自身のPCが壊れたら終わることと、毎回サービスを起動しないといけないとかあるので、今回はクラウドサービスで考える。大震災とかで引っ越しを余技されなくなった時用のバックアップとしても使えるが、実際はローカル管理のほうが良い。なぜならクラウドサービスでどこからでもログインできるということは、一元管理しているパスワードマネージャーにログインされたら全ての情報が盗み取られるため完全にアウトだからだ。

 

では改めて一般的なパスワードマネージャーの仕組みを理解していく。

 

パスワードマネージャーとは

  • 保存するデータは全て暗号化して保存されるため、クラウドサービスを使っても保存されるデータは管理者側には分からない仕組みになっている
  • パスワードマネージャーにログインするにはログインID/パスワードの他に生体認証や2FA認証でログインできるサービスも存在している
  • ランダムパスワード生成があるので便利
  • 一度認証すれば各サイトにログインする際、自動入力が可能なので便利に使える
  • 但し、先ほどの通り、登録したメールアドレスをハッキングされ、「パスワードを忘れた場合」ボタン経由で2FAとか無視してログインされる可能性があるため、この機能を無効化するサービスを使うのが望ましい
  • が、それをやるとログインできなくなったら完全にパスワードを消失することになるため、最悪完全に消失しても問題ない情報のみ保存するのはどうだろうか。⇒例えば証券会社にログインできなくても「パスワードを忘れた」ボタンから入れるし、なんならKYCしてるからサポートに聞けばなんとかなる。その間ログインできなくなるが最悪ケースは免れるだろう。

 

ということで、方針が決まりました。私だったらこう管理します。

 

どう管理するか

  • ログインパスワードはどこにも保管しない、頭の中で管理し、忘れないように頑張る。もしくは紙ベースでパスワードだけ書いてどこかに保管する。サービス名とかIDとかはのっけない。
  • ログインパスワードに加えて2FAや生体認証は必須とする
  • 2FAや生体認証を行うデバイスは実際にログインする端末とは全く別の物を用意すること。その別の端末にはメールそれ以外の情報を入れないこと
  • リカバリーコードは発行しないこと
  • 最悪、ログインできなくなってもいいサイトだけ登録する(KYC済みのサイトならまぁいいっしょ)

 

こんな感じだろうか。もう雑に使い切る感じで行けばいいかな。

 

この辺は暗号資産ではできない技である、

パスワード忘れても良いから頭で覚える」が使える。

 

最悪資産は守られるのが中央集権の強い所だと思ってるので、それを利用しない手は無いだろうなと。まぁでも2段階認証してるか、そもそも生体認証してれば漏れてもなんとか大丈夫そうだけどもね。

 

また、パスワードマネージャーにはそれ以外にも利点があると思っていて、登録したサイトで自動入力が可能なんだけど、そのサイトが偽サイトのドメインじゃないことが証明できるわけなんですよね。

 

なので、毎回パスアワードを保存せずに手打ちで打つ方がよっぽど怖いんだよ。対策として手で毎回打とう!みたいな人見かけるけど正直震え上がってる。偽サイトかどうかの人間によるチェックが一つ増えるのも手間だし確認漏れして偽サイトに手入力したら終わりじゃんってね。

 

ということで、パスワードマネージャー使うのは結構アリだよねって話でした。じゃあどのパスワードマネージャーを使うのかって話なんだけど、2段階認証か生体認証ができて、リカバリーコードを無効化できて、メールによリセットができないところである程度認知度がある所ならいいんじゃないでしょうか(丸投げ)