パスワードマネージャー
定義
パスワードマネージャーとは多数のWebサービス・アプリ・システムへのパスワードを安全に生成・暗号化保存・自動入力するツールです。人間が記憶できる複雑なパスワードには限界があり、同じパスワードの使い回しは一か所が漏洩した際にクレデンシャルスタッフィング攻撃の連鎖被害を招きます。パスワードマネージャーを使えばサービスごとに異なる20文字以上のランダム文字列を使えるため、使い回し問題を根本から解決できます。マスターパスワード1つだけを記憶すればよく、ブラウザ拡張はログイン時にURLを検証して自動入力するためフィッシングサイトへの誤入力を防ぐ副次的効果もあります。1Password・Bitwarden(オープンソース)・KeePassXC(オフライン)が代表例で、マスターパスワードを強力に設定してMFAを組み合わせることが必須です。長期的にはパスキーへの移行が推奨されますが、過渡期では最も実用的な対策の一つです。
詳細解説
人間が記憶できる複雑なパスワードには限界があり、パスワードマネージャーを使うことで「サービスごとに異なる20文字以上のランダム文字列」を実現できます。ブラウザ拡張機能がURLを確認して自動入力するため、フィッシングサイトへの入力を防ぐ副次的効果もあります。クラウド同期型は強力なマスターパスワードとMFAの組み合わせによる保護が必須です。
ポイント
- 覚えるパスワードはマスターパスワード1つだけにできる
- サービスごとに異なるパスワードでクレデンシャルスタッフィング攻撃を無効化
- ブラウザ拡張がURLを確認して自動入力するためフィッシングサイトへの誤入力を防止
- 将来的にはパスキーへの移行が推奨されている
関連用語
同じカテゴリの用語(防御・対策)
内部ネットワークとインターネットの間に設ける緩衝ゾーン。WebサーバーやメールサーバーなどをDMZに配置することで、外部…
エンドポイント(PC・サーバー・スマートフォン)上の挙動をリアルタイム監視し、高度な脅威を検知・調査・対応するセキュリテ…
ネットワークやホストへの不正アクセス・攻撃を検知して管理者に通知するシステム。シグネチャベースと異常検知ベースがある。検…
侵害の痕跡を示す証拠。不審なIPアドレス・ドメイン・ファイルハッシュ・レジストリキー・ネットワークパターンなどが含まれる…
IDSの機能に加え、検知した攻撃をリアルタイムに自動遮断するシステム。インラインに設置され、悪意のあるトラフィックをブロ…
複数のセキュリティ製品からログを集約し、リアルタイム分析・相関分析・アラート生成を行うプラットフォーム。Splunk・M…
関連するレッスン
組織を守る実践的な防御策を学ぶ