現代のIT環境では、アカウントを奪われると致命的なダメージがあるため、大変に怖い領域です。ここでパスワード管理が最大級の課題になってくるのですが、現実に安全なパスワード管理は『人間の能力ではほぼ無理』と思われる難度になってきます。ですので、私はよくパスワードマネージャーをおすすめしています。

ただ、「結局使い方を間違えそう」とか、「そのツールも安全に使えなければ、かえって危険が増えたりしないか」といった疑問もあると思います。

そこでパスワードマネージャーを安全に使うための方法を、現時点で思いつく限りで簡単にまとめました（12個）。イメージ的には、「自分が仕事をお願いする人が1passwordを使っているとしたら、これは知っておいて欲しいな」と思うことです。私は1passwordユーザーのため、1passwordを想定しています。ただ他のツールでも注意点は似てくると思います。

ご参考になれば幸いです。

その1　1passwordのアカウントメアドは安全性の高いものに

1passwordのアカウントはメールアドレスです。ここに「クリックして確認」などの手続的なものが飛んでくることがあります。

メール管理が甘い（or頼りないメールサービス）→他人にメールを見られた
となると、1password側にも危険が出てきます。

まず、信頼性の高いメアドでアカウントを作ることが重要です。

その2　マスターパスワードは20文字を目安に＆覚える

1passwordを守るための第一のカギはマスターパスワードです。
20文字以上にして、紙に書かないで覚えます。クラウドサービスにもテキストファイルにも保存しません。覚えるのは1個だけですから頑張ります。

万が一のときの復旧はリカバリー（後述）に頼ります。

その3　マスターパスワードは人前で打たない

人前でマスターパスワードを打たないようにします。顔認証などでロック解除できるように設定しておき、基本はこれを使います。
どうしても外でマスターパスワードを打つ必要があるときは手元をしっかり隠します。

その4　Webサイトではなくて、アプリで使う

1passwordのWebサイトではなくて、アプリで利用します。
1passwordのログイン情報をWeb入力する癖があると、フィッシング（偽サイト）に引っかかるリスクが上がるためです。

フィッシングに引っかかる＝1passwordのログイン情報を全部奪われる、なので、致命傷になります。

その5　できれば物理キー（Yubikeyなど）で二要素認証をかける

1passwordの数少ない弱点の1つはフィッシングです。偽サイトに1passwordのログイン情報全部を間違って入力してしまうというパターンです。

フィッシング対策として有効なのは物理キー（Yubikeyなど）です。これはFido2という規格によるのですが、要するにログイン先のサイト情報を物理キーの側がきちんと覚えておいてくれるので、偽サイトに向かって物理キーを刺しても物理キーが反応しません。これで首の皮一枚つながることを期待します。

物理キーを準備できなくても普通の二要素認証をかけます。

その6　1passwordを入れているPCなどの起動パスワードを厳重に（15文字目安）

1passwordを入れているPCなどを落とす→PCなどのパスワードが破られる→1passwordが起動される
というパターンを回避したいです。そこでPCなどの起動パスワードを厳重にします。15文字目安です。スマホも同様です。

その7　もし必要なければスマホ・モバイルのPCに1passwordを入れない

スマホやノートPC（モバイル）は落としやすいアイテムです。
もし必要がないなら1passwordを入れません。
たとえば原則的にオフィス内でしか業務をおこなわない事務職の方の場合です。

その8　1passwordに物理身分証などは入れない

万が一があった場合には、デジタル人格を奪われる危険が出てきます。しかし、せめて物理人格までは奪われないようにしておきます。そのため、物理的な証明書（運転免許証の写真など）を入れることは回避します。

その9　重要アカウントの二要素認証は分ける

1passwordは、二要素認証のQRコードをスキャンできますが、少なくとも一定以上重要なアカウントについては、この機能を使わないようにします。
別のアプリ（Microsoft AuthenticatorやGoogle Authenticatorなど）でQRコードをスキャンして、二要素認証をかけます（SMS認証などでもOK）。

たとえばGoogleアカウントに大量のサービスを連携している人の場合、Googleのアカウントの侵害は致命的です。
Googleアカウントの二要素認証が1passwordの外にあれば、もし1passwordが侵害されても、Googleへの不正ログインは防止できます。

その10　Webサイトのアドレスをきちんと登録→自動入力（コピペを避ける）

1passwordに個々のIDパスワードを覚えさせるときに、Webサイトのアドレスの登録ができます。登録しておくと、「1passwordがサイトURLを確認して自動入力」してくれます。

これが便利なだけではなくて、安全になります。たとえばAmazonの偽サイトがあった場合、自動入力が反応しない→偽サイトかも、と分かるわけです。
逆に、いつも手でコピペしていると、ここで気づけなくなります。

その11　リカバリー（アカウント復旧）に注意

なにかの事故やマスターパスワード忘れなどで1password復旧が必要になったときには、リカバリー機能を使います。
ファミリーやビジネスのプランであれば、他のメンバーによるリカバリー操作でアカウントが復旧できます。

一方、他のメンバーのアカウントが奪われると、リカバリーを使って連鎖的にアカウントを奪われるおそれも出てきます。

そこで、
・リカバリーできるメンバーの数は少なく限定
・リカバリーできるメンバーは、セキュリティが特にしっかりしているアカウント
にします。

また、確認メールは、リカバリーされる人のメアドに飛んでくるので、1番目に書いたように、メールが他人に見られないことも重要です。

その12　「一番重いアカウント」

最後は精神論です。1passwordは他のたくさんのパスワードを管理するので、一番重いアカウントになります。

自分が思いつく限り、「これはもしかして危険？」ということがあればそれを疑ってみるようにしてください。そして詳しい人に確認するなどが重要になります。

他の記事もどうぞ

書いた人の紹介

「セキュリティは大事なところからやっていきたい」→

「データの記録では仕事がしづらい…」→