家計簿アプリの記事を書いていたのですが、パスワード管理に関する説明が少し雑だったので、「なぜ、スマホさえあればパスワード管理まで簡単にできるようになるのか」をこのページで簡単に解説していきます。
iPhoneで簡単にパスワードを管理する方法
iOS/MacOS標準機能でパスワード管理・生成が簡単にできる方法について説明していきます。
とはいえ、実際にはiPhoneが指示する通りにパスワードを生成すればそれが一番安全なんですけどね。でも、勝手にパスワード作るとか、なんか色々怖いじゃないですか。その辺りのことについて。
iOSのパスワードの仕組み
iPhoneユーザーが使用しているOSがiOSというものです。つまり、iPhoneユーザーのための説明だと思ってください。
まず、iPhoneを利用していると、インターネットサイトでログイン情報を入力するとき、「パスワードを作成しますか」のようなメッセージが出ることがあります。
iPhone以外でも使えるの?
少しずつ解説していきますが、iPhoneで利用できるログイン簡略化サービスも、実はいくつか種類があります。また、iPhoneだけじゃなく、iPadでもMacでも使用できるので、「スマホが変わった」「パソコンになった」ときにも対応は可能です。
iCloudキーチェーン
iCloudキーチェーンは、その名の通り、iCloud上のユーザー専用のデータベースに、サイトログイン用のパスワードを保管しておき、ログイン時にこのデータベースを参照してログイン作業を簡略化させるシステムのことです。
簡単に言えば、ログインのパスワードを自動で覚えてくれて、自動で入力してくれる便利機能のことです。
ログインページは特殊な構造なのでブラウザが判断できる
サイトのログインページというのは、やや特殊な入力フォームになっていて、Safariなどのブラウザは「ここにユーザーIDが入力される」「ここにパスワードが入力される」ということがわかるようになっています。
その「ログインが必要だよ」という情報をSafariなどのブラウザが受け取ると、「すでにログインしたことがあるサイト」であれば、前回ログインしたパスワードを自動で入力しておいてくれます。
一方で、初めてログインするサイトの場合だと、「推奨されたパスワード」を自動で作成するか、「独自のパスワード」を作成するか選択できるようになっています。
自分でパスワードを作ることの限界
どうしても、自分でその場で作成しようとすると「覚えやすくて簡単なもの」になりがち。しかも、単純なパスワードであっても、咄嗟に作ったようなものだとすぐに忘れてしまいます。
推奨されたパスワードを使う、とは
これは、Safari側で、ウェブサイトから要求されたパスワード桁数以内で最適なランダムな文字列の組み合わせを設定するもの。後述しますが、既存単語の組み合わせや、同一系列(数字や半角英字など)の組み合わせよりもずっと強力なパスワードが一瞬で作られます。
こんなパスワード、絶対に覚えられない!
自動で作成されたものは「普通は暗記できない」くらいに複雑ですが、これは覚える必要がありません。
Safari、正確に言えばSafari利用者のApple アカウントが利用するiCloud上に保存されます。アカウントに紐付けされているので、iPhoneを買い換えたりしても、自分のアカウントで別のデバイスにログインすれば使用することができます。
独自のパスワードを使う
実は、先程の「推奨されたパスワード」は、半角英数字とハイフンで構成されます。ただ、ウェブサイトによっては(なぜか)ハイフンをはじめとして一部の記号や文字列が仕様できないものがあります。
推奨されたパスワードは随時変更可能なのですが、どうしても「ハイフン-」だけは含まれるので、パスワードが認められないケースはしばしばあります。マジでなんなの。
推奨されたパスワードが使用できない時は、泣く泣く独自のパスワードを入力することになります。
ハイフンを抜いて作成されたパスワードを使う
ちなみに、推奨されたパスワードの文字列を利用してハイフンを抜いて登録すると割と認証されます。ただ、iCloudキーチェーンのパスワードを更新し忘れるとログインできないし覚えていないしで、パスワード設定をやり直すことになるのは手間です。
とはいえ、面倒くさがって簡単なログインパスワードにすると、思いがけずに不正ログインの被害を受けることがあるので注意が必要です。
基本的にはログインできなくなることよりも「ログインされてしまうこと」の方が取り返しがつかないので、とにかく複雑なパスワードを設定しておく習慣だけはつけておいてください。9割9分のサイトのログインは、簡単にパスワードの再設定ができます。
Macでキーチェーンを使う
私は、いつもMacでキーチェーンのパスワードがどこにあるか忘れてしまうので、これを機会にしっかり覚えておきます。
まず、基本設定などではなく、Macの場合は「キーチェーンアクセス」というアプリが存在します。
かなり細かなパスワード関連の情報が表示されます。キーチェーンの管理もできますし、秘密のメモや証明書、鍵の発行なんかもできます。いつ、どのように使うのかはちょっと私にもレベルが高すぎてよくわかりません。
わかんないって、書いてから、結局気になって調べるんですけど、今回は結構沼ですね。面白すぎて時間溶けちゃうんで、今回は割愛で。鍵や証明書などをうまいことやり取りすると、より安全に情報のやりとりができそうなことはわかった。
iPhoneなどと比較しても、かなりの情報量で、パスワードを探す際にもソートはしやすいです。同時に情報が多すぎて見にくくて実用性には欠ける。
AirDropを活用する
Macなど、普段使わないデバイスでログインしたい場合ってありますよね。いや、そんなにはないか。
パスワード選択画面で、該当するパスワードをタップすると「コピー」や「AirDrop」を選択することができます。
メモにパスワードをコピペする
そういえば、昔は「メモ」などにパスワードをコピペして管理したりしていました。メモ自体が、MacやiPhone、iPadなど使用しているデバイスで閲覧したり編集したりできるので、キーチェーンを使わずにパスワードを作成したときのメモがわりに使用しています。メモだし。
メモの活用は危険?
これは危険というほどでもないのですが、メモに個別にロックくらいはかけておいた方がいいと思います。
「スマホのメモにパスワードを保存する」というのは、言い換えると「通帳と印章を一緒に保管する」と同じようなことです。ロックせずに置いておいたら、全てのデータを抜かれた上に、スマホで買い物・振り込みなどまでされてしまいます。
とはいえ、スマホを盗まれても大丈夫なように強固なロックをかけている場合は、メモの管理くらいは多少手を抜いてもいいような気はしますが、スマホだけは無くさないように注意しましょう。
Windowsで使用する
Windowsでは使えないんですよ、って書き始めようとしたのですが流石に時代は変遷しており、なんとWindowsでも簡単にiCloudのキーチェーンに保存したパスワードを使用できるようになっていました。
Google Chrome拡張機能を使う
やり方も至極簡単。Google Chromeの拡張機能「iCloudパスワード」を使うだけ。ただ、WindowsストアからiCloudアプリをインストールしておく、などの事前準備は必要らしいのですが、ちょっと当方で環境整備ができていないので再現不可。
こちらの記事など参考にしていただけるとわかりやすいかも。
iPhone/iPadに保存したパスワードをWindowsの「Google Chrome」と同期してみた
キーチェーンと「Appleでサインイン」との違い
サイトにログインする場合にiCloudキーチェーンで既存のログイン情報を参照してパスワード入力ができる、という話をしました。実は、このほかにも「Apple でサインイン」という方法でアプリやサイトのログインサービスを簡単に済ませる方法があります。
Appleでサインインとは
Appleでサインインとは、使用しているデバイスでログインしているApple アカウントを使ったSNS系アカウント連携サービスと似たようなシステムのログイン簡略化サービスです。
Appleでサインインの使用方法
使い方は簡単で、サイトのログイン画面に「Appleでサインイン」というものがあれば、そこをタップするだけ。
相手に通知されるのは「ログイン名」とメールアドレスだけで、しかもこのメールアドレスも「プライベート用」ではなく、アカウント用に自動で生成することも可能。
Appleでサインインするメリット
- Webサイト・Appに伝える情報は「ログイン名」と「メールアドレス」だけ
- メールアドレスは非公開もできる
- 2ファクタ認証設定も可能でセキュリティも高度
- 必要なのはAppleアカウントにログインした端末だけ
「メールを非公開」を掘り下げる
メールを非公開という設定も可能です。
Appleのプライベートメールリレーサービスを使って、アプリやWebサイトのディベロッパーにプライベート用のメールアドレスを伝えずにログイン用のアカウントが作成される、というものです。
なんと、このアカウント情報で「メッセージのやりとり」も可能。ディベロッパーが通知したいことを、このプライベートメールリレーサービスを使って送信が経由されて、ユーザーにメッセージが届けられます。そして、メッセージの返信についても、相手に個人用のメールアドレスを隠した状態で直接返信できるそう。すごくね?
このランダムなメールアドレスは「変更」することも可能で、メールの転送も無効にできるので「希望していないのにいつの間にか設定されていたメルマガ登録」なんかも、Appleアカウント側で簡単に解除することができます。
「メールを非公開」を活用する
「メールを非公開」を利用する方法については、こちらの記事にまとめました。
「メールを非公開」でゲームアカウントを量産する方法については、こちらのページでまとめています。
Appleアカウントの、2ファクタサービスとは
この辺りは、過去記事のiCloudの安全性に関する記事にまとめました。
ざっくりと以下。
- 登録には「信頼できる電話番号」の登録が必要(不正アカウントは増産されない)
- Apple IDのサインインには「確認コード」が必要になる
- 確認コードは「信頼できる電話番号」や「信頼できるデバイス」に対して発信される
- 自分の所持しているデバイスに必ずログイン情報の通知がいく
- ログインを許可しないこともできる
当サイトでは家計簿アプリなど「重要なアカウント情報」について取り扱うことも多く、この2ファクタ認証を推奨しています。他のサービスでも同様に、ログインには必ず「通知がいく」ことと「他のデバイスでの許可が必要」なものがあるので、必ずその設定をしてもらうようにお願いしています。
パスワードの安全性について
このキーチェーンのパスワードがどこに保存されるかというと、「使用しているデバイス」に加えて「iCloud」という、iPhoneユーザー全員が所有しているデータクラウドに保管されます。
デバイスが盗まれた場合は、デバイス自体にロックをかけて使用不能にすることは可能です。本当は、デバイスのロックパスワードもなるべく複雑なものの方がいいのですが、日常生活では面倒なので生体認証が一番いいとは思います。
デバイスは自分の管理である程度なんとかするほかないのと、最悪盗まれてもどこからでもロックがかけられるのでむしろ心配はいらない。ただ、心配なのはiCloudに保管されているすべてのパスワードが流出・漏洩する可能性です。
パスワードは変更すべきもの
ここまで、パスワードの重要性についてお伝えしてきましたが、「具体的にどんなパスワードがダメなのか」について説明していきます。
覚えられるもの、にしないこと
ここまで説明してきて、「そもそも、覚えられないパスワードにしなくちゃいけないのか」ということに疑問を覚えている方もいるかもしれません。
簡単に言えば、やっぱり「覚えられないくらい複雑なパスワード」にする必要はあります。
残念なことに、コンピュータが進化するということは、セキュリティを打ち破るハッキング能力も高まるということ。そして、ハッキングから身を守る方法は常に後手後手になるといういことです。
まず、4桁の暗証番号に関しては、小型の端末でも1秒もかからずに突破されます。8桁の英数字入りでもスマホさえあれば数秒で突破できます。赤子の手を捻るように、通帳の暗証番号なんかぬるっと通過されます。
実際には、異常な数のログイン試行が繰り返された時点でセキュリティ面で勝手にロックをかける場合がほとんどですが、とにかく、それくらいに演算処理のスピードは上がってきています。逆に、スマホの画面ロックなどに関しては、盗まれた場合は簡易ロックの場合は簡単に打ち破られると思っておいてください。
さて、ではインターネットサイトのログインパスワードについて考えてみます。どのサイトでもいいのですが、セキュリティ系に定評のあるカスペルスキーあたりの演算を見てみてください。このサイトでパスワードを入力すると、「一般的な家庭用コンピュータ」での解読に必要な期間が示されます。
優秀なパスワードの条件
- 桁数は長い方がいい
- 記号や大文字・小文字を組み合わせた方がいい
- 実用性を加味するなら自分にだけ意味のわかる単語の組み合わせを考える
- 「一般的な単語列」を並べ替えたもの、生年月日など使われやすい数字の羅列から総当たりで解読される
- 2段階認証を使う
基本的には複雑であれば複雑であるほどパスワードとしては強力ですが、実用性という意味では長ければ長いほど覚えられずに入力ミスも増えてストレスが溜まります。
注意点としては、あくまでも一般的なハッキングに関しての対策であり、国家レベルでのハッキングになればより巧妙に、かつ迅速にハッキングされます。そして、コンピュータの性能が高まるほどに、パスワードの寿命も短くなっているということを認知していただければと思います。
絶対に同一パスワードは使用しない
まず、注意して欲しいのが、一度ネット上で突破されたパスワードは、その業界で共有されます。一度突破されたかどうかは然るべきセキュリティサイトなどでも確認はできるのですが、最近ではGoogleアカウントやApple アカウントでも把握できるので、無料でわかるし無料で対策できます。すごいね。
ただ、それくらいに「パスワード情報」はネット上で一瞬で共有されるということです。一度世に出たパスワードは使い物になりません。「漏洩した可能性があるパスワード」などのアラートが出た場合は、なるべく同じ文字列は避けてパスワードを再設定しましょう。そのままは、かなり、危険。
iOS 16でパスキーが登場
iOS 16/iPadOS 16から「パスキー」が登場します。
情報が分かり次第、パスキーについてもまとめます。
iOS16の情報はこちらでも更新するのでチェックしてみてください。
iPadOS16の情報はこちらでも更新するのでチェックしてみてください。
Androidでパスワードを管理する
ここまではAppleアカウントでの話をしてきました。次に、Googleアカウントの話を少しだけします。
Googleアカウントでも似たような機能がある
Googleアカウントは、Gmailなどの利用のために使用するアカウントで、おそらくAndroidアプリなどをインストールするGooglePlayストアなどのログインでも使用されるのではないでしょうか。使ったことないから知らんけど。
私はブログを書く都合、Googleの検索結果に日々怯えながら生活しています。Googleに忠誠を使う建前、Googleのウェブ系のサービスはかなり使い込んでいますが、そんなものにもGoogleアカウントが使用されています。
さて、この汎用性の高いGoogleアカウントにも、Chromeやアプリなどで使用したパスワードが保存できます。保存済みのパスワードは、 passwords.google.com で確認できます。保存される情報は、アカウントとパスワードがセットで保管されています。
Googleアカウント自体のセキュリティ
ここで気になるのが、Googleアカウントを突破されると全てのログインパスワードが漏洩します。ここまで紹介したAppleと似たような状況ではありますが、AppleはログインされるデバイスがAppleデバイスに限定されている一方で、Googleアカウントは無限に増殖できます。
ただ、結論から言えば、Googleアカウントに関してもセキュリティを高めた管理をしていけば大きな問題にはならないと思います。つまり、2段階認証は必須。
Googleアカウントのセキュリティ対策
Googleに関しても、脆弱性の高いパスワードなどに関しては「セキュリティのアナウンス」で通知してくれます。私が昔使用していたアカウントは重大なセキュリティ問題祭りになっていました。大変。
不正使用などの情報がわかるほか、以下のような情報が確認可能です。
- 使用しているデバイス
- アカウントへのログイン履歴
- アカウントに付与された情報を閲覧を許可されているアプリなどのアクセス履歴
- ウェブサイトなどのログインパスワードの危険性・脆弱性
アプリで簡単にパスワードを管理する方法
今回はここで終わりますが、OSに由来したパスワード管理に不安を感じる場合、あるいは(もうChromeでも使えるので不要だとは思いますが)AndroidやAppleなどを気にせずに、さまざまなデバイスで共通したアプリを使用したい時なんかに、「パスワード管理アプリ」が役に立つことがあります。
1Password
有名どころとしては、1Passwordが老舗的な人気。
TrendMicro パスワードマネジャー
ウイルスバスターのトレンドマイクロのパスワード管理アプリ。
コメント