※本記事にはアフィリエイト広告が含まれます。
事件が起きたのは何気ない平日の朝だった
2年前の秋、通勤電車の中でスマホの通知を見たら、見覚えのないサービスからのパスワード変更通知が届いていた。Twitterでもなく、Gmailでもなく、昔使っていたゲームのアカウントのメールアドレスに届いた通知だった。
最初は「迷惑メールかな」と思ってスルーしかけた。でも送信元をよく見ると本物のドメインで、実際にパスワードが変更されていた。アカウントの中には何も入っていなかったから実害はなかったが、そのゲームに登録していたメールアドレスとパスワードの組み合わせが他のサービスでも使い回されていることに気づいた。
パスワードを何パターンかで使い回していたのだ。しかも確認してみると、Amazonとクレジットカード会社のサービスに同じパスワードを使っていた。ゾッとして、その日の夜にパスワード管理を完全に見直した。
自分のパスワードの実態調査
まず現状を把握しようと、登録しているサービスを全部洗い出した。メモ帳に書き出したら60個を超えた。そのうちパスワードをちゃんと思い出せるのが15個くらいで、残りは「たぶん使い回しのあれ」という状態だった。
使い回しのパターンを正直に書くと:
- 「パターンA」:英数字8文字の基本パスワード(銀行以外のほぼ全サービス)
- 「パターンB」:パターンAの末尾に「123」を足したもの
- 「パターンC」:誕生日が入ったもの(家族関係のサービスに使用)
3パターンで60個のサービスを管理していた。これは「パスワード管理」ではなく「パスワードの無管理」だった。セキュリティの専門家から見たら悪夢のような状態だったと思う。
1Passwordを選んだ理由
パスワードマネージャーを導入しようと調べたとき、主要な選択肢として出てきたのが1Passwordとしたとき。
1Password vs Bitwarden 比較
| 項目 | 1Password | Bitwarden |
|---|---|---|
| 個人プラン月額 | 約480円(年払い) | 無料(プレミアムは月120円) |
| UIのわかりやすさ | ◎ | ○ |
| ブラウザ拡張機能 | ◎ | ◎ |
| iOS / Android対応 | ◎ | ◎ |
| オープンソース | × | ◎(MITライセンス) |
| Travel Mode(国境越え機能) | ◎ | × |
| 家族プランの充実度 | ◎ | ○ |
Bitwardenが無料でオープンソースという点は魅力的だった。実際、セキュリティエンジニアの友人はBitwardenを使っていて「無料でもこれで十分」と言っていた。ただ自分の場合、「UIの分かりやすさ」と「最初の移行のしやすさ」を重視して1Passwordを選んだ。
料金は年払いで月額480円、年間5,760円。「パスワードの安全に年6,000円は高い」という感覚もあったが、クレジットカードの不正利用が1回起きたら被害額がそれどころではないと考えて納得した。
2要素認証(2FA)の重要性を同時に学んだ
1Passwordの導入と同時に、2要素認証(2FA)を主要サービスに設定した。パスワードが漏れても、スマホの認証アプリを通さないとログインできない仕組みだ。
自分が設定した主なサービス:
- Gmail(Googleアカウント)
- Amazon
- Apple ID
- 楽天
- PayPay
- LINE
- 各種銀行・証券
認証アプリはGoogle Authenticatorを使っている。SMSでのコード受け取りより安全だと言われていて、SIMスワップ詐欺のリスクを下げられる。設定は最初少し手間だったが、慣れれば30秒でログインできる。
移行手順:全60サービスのパスワードを変えるまで
現実的な手順として、以下の順序で進めた。
- 1Passwordのアカウント作成、アプリ・拡張機能のインストール
- マスターパスワードを決める(20文字以上の自分だけが覚えられる文章型)
- 緊急キット(Account Key)を印刷して物理保管
- 重要度の高いサービスから順にパスワード変更・1Passwordに保存
- 1Passwordのパスワード生成機能で24文字以上の完全ランダムパスワードを作成
全60サービスのパスワードを変え終わるまで2週間かかった。1日に5〜10サービスずつ地道に進めた。
途中で「これ本当に必要か」と思ったサービスは、そのタイミングでアカウント削除した。退会手続きが面倒なサービスもいくつかあったが、使っていないサービスのアカウントが存在すること自体がリスクなので、全部片付けた。結果的に60個が42個に減った。
1Passwordを半年使って変わったこと
ログインが速くなった
ブラウザでサービスを開くと、1Passwordの拡張機能が自動でIDとパスワードを入力してくれる。パスワードを思い出す必要がないので、体感で2〜3秒速くなった。小さいことだが、毎日何度もログインしていると積み重なる。
「本当のパスワード」を覚えているものがなくなった
今、自分がパスワードを暗記しているサービスは0個だ。全て24文字以上の完全ランダム文字列になっている。これは少し怖い気もするが、逆に「どこかが漏れても他のサービスに影響しない」という安心感に変わった。
家族のアカウントも一元管理できた
1Passwordのファミリープランに乗り換えて(月830円・5人まで)、妻も同じシステムを使い始めた。共有保管庫という機能で、Wi-Fiのパスワードや共用の会員サービスのID/パスワードを家族で共有できる。「Netflixのパスワード何だっけ」という会話がなくなった。
気をつけておくべきリスク
1Passwordを使ううえで、リスクも正直に書いておく。
- マスターパスワードを忘れると詰む:1Passwordはゼロ知識暗号化なので、マスターパスワードを忘れたら中身を復元できない。Account Keyを物理印刷して鍵付きの場所に保管することは絶対に必要。
- 1Passwordのサービス停止リスク:クラウドサービスである以上、会社が倒産したり買収されたりするリスクはゼロではない。定期的にエクスポートしてローカルにバックアップを持っておくのが安全策。
- 1Passwordの2FAには注意:1Password自体に2FAを設定できるが、2FAコードも1Passwordに入れてしまうと「1Passwordへのログインに1Password内の2FAコードが必要」という本末転倒な状態になる。1PasswordのTOTPコードは別のアプリ(Google Authenticatorなど)で管理すること。
結論:パスワード管理に年6,000円は安い
あの朝、見知らぬサービスからパスワード変更通知が届いてから2年が経った。今は60個(現在42個)の全サービスで別々の強力なパスワードを使っていて、主要サービスには2要素認証が設定されている。
1Passwordへの年間コストは約5,760円(個人プラン)から現在はファミリープランで年9,960円に変わっている。それだけの価値があると感じている。クレジットカードの不正利用や、アカウントの乗っ取り被害の1件分を考えたら、保険としての年1万円は安い。
「まだ何も起きていないから大丈夫」という考え方は、何か起きてから後悔するための考え方だった。自分はたまたま実害がない段階で気づけたが、気づくのがもう少し遅かったら全然違う話になっていたかもしれない。
