多くのテクノロジーベンダーはバイトメトリックスやU2Fキーといった物理キーを使ったパスワードレスなログインを実現する方向を目指している(参考「パスワードを適切に利用するための基礎知識」)。しかし、ユーザーは依然としてかなりの数のパスワードを記録し、サービスごとに使い分けなければならない状況に置かれている。そして、多くのユーザーは大量のパスワードを覚えておくことができないため、同じパスワードを使い回している。これはセキュリティリスクがとても高い状態だ。
こうした状況もあり、最近はパスワード管理アプリケーションの活用が推奨されている。これはパスワードの記録や自動入力などを行ってくれるソフトウェアのことで、マスターパスワードさえ覚えておけば、あとはパスワード管理アプリケーションが管理してくれる。主要なWebブラウザも同様の機能を提供するようになっている。
しかし、パスワード管理アプリケーションにも注意が必要だ。LeaderのセキュリティチームであるDonjonは7月6日(米国時間)、「Kaspersky Password Manager: All your passwords are belong to us|Donjon」において、Kaspersky Password Managerに含まれているパスワードジェネレーターに問題があり、生成されるパスワードが簡単に推測できる脆弱性が存在していたことを指摘した。この脆弱性は既に修正されており、最新版を使っていれば影響を受けることはないとされている。
-
Kaspersky Password Manager: All your passwords are belong to us | Donjon
新しいパスワードを考えるのは大変な作業だ。パスワード管理アプリケーションはパスワードの提案も行ってくれる。一見すると複雑で推測不可能なパスワードを生成してくれるように見えるが、Donjonの研究者はKaspersky Password Managerに含まれているパスワードジェネレータには不備があることを発見したという。生成された大体の時間がわかればすぐに推測できると説明している。
パスワード管理アプリケーションは便利だ。使うことで発生するデメリットよりも使わないで発生するデメリットのほうが大きいと考えられている。パスワード管理アプリケーションに関する問題が指摘されることもあるが、これはほとんどのソフトウェアに対して言えることだ。パスワード管理アプリケーションもソフトウェアであり、常に最新版を使用するなどして適切に扱っていく必要がある。
