Watchtowerで効率的に脆弱性リスクに対応する場合に定期的にやっておきたいこと #1Password
筆者は1Passwordの個人アカウントを利用し、Watchtowerを使って定期的に棚卸しを行っています。Watchtowerは、二段階認証が有効なサイトや、https://haveibeenpwned.com/で漏洩が確認されているパスワードが使用されている場合に報告してくれる便利な機能です。
ただし、1Passwordの使い方次第で、意図しない形で脆弱性として上がってくる場合があります。パスワードを変更しなくても、スコアが向上することがあります。
脆弱性を適切に検知するための対策をいくつか挙げてみました。
存在しないアカウントのログイン情報削除
一定期間ログインがない場合、アカウントが自動的に削除されるサービスもあります。ただし、アカウントが削除されたことを通知してくれるサービスは多くありません。これにより二度と使われないログイン情報が残ったままとなりますが、漏洩判定のあるパスワードだった場合はアラートが上がり続けます。削除されたかどうかを確認する方法がわからない場合は、以下のフローに従って試してみてください。
ログイン時にIDを忘れていた場合はメールアドレスによる通知となるケースがほとんどです。メールアドレスを消失していた場合は運営への問い合わせとなりますが、基本はアカウント自体の作り直しとなるでしょう。
もしアカウントが消滅していてサービスを今後利用しない場合は、1Passwordのログインアイテムを削除するのもひとつの手段です。
二要素認証の設定
肝心な点は1Password自体に設定することです。パスワードとは別に設定しなければ効果が薄いというのも事実ですが、スコアを上げるためには設定が求められます。
二要素認証をAuthyなどの専用アプリケーションに任せることで、1PasswordのWatchtowerによる二要素認証要求をOFFにすることもできます。
同じWebサイトに対するログインアイテムの重複を無くす
重複することで同じパスワードの使いまわしとみなされます。重複発生の原因としては、ログインURLの変更が発生した際にログインアイテム自体が追加されたケース。URLの追加は1Password上でログインアイテムに対する手入力による操作が必要になります。
タイトル等では見分けがつかないため、それぞれのURLを開いて同じサービスに対するログインアイテムであることを確認した上で統一しましょう。
漏洩したパスワードの置き換え
二要素認証未設定の場合は一番のリスクとなります。各サービスへログインし、1Passwordによるパスワードジェネレータにてサービス側が要求する仕様にそった文字列を生成しますが、気をつけるべきは1Password上の古いパスワードを別に書き留めておくこと。
パスワードを変更した後に古いパスワードを要求してくるサービスがそれなりにあるため、古いパスワードがわからなくなった場合はリマインドからの再スタートとなります。
パスワードを強固にできるサービスへの乗り換え
スコアを上げたい時に意外と壁になるのは、サービス側で設定できるパスワード文字列の長さが短く制限されている場合です。パスワード文字列の長さを長くすることができる類似サービスに切り替えるなど、セキュリティ対策の向上に努めることもできます。
あとがき
常に完璧とはいかないものですが、出来うる限りスコアを上げることで自然とセキュリティ対策にも繋がります。面倒だなぁ、と思って放置していると脆弱性を突かれてクレジットカード番号漏洩にも繋がる可能性が出てきます。
Watchtowerは一番面倒な脆弱性判定を請け負ってくれる点が魅力です。解決すべき課題も深刻なものから順に並べてくれるので、そこだけでも面倒がらずに対応しておきましょう。