keepassでパスワードや機密情報の一元管理を始めた
かなり有名
使い勝手が良い
クロスプラットフォーム対応
スマホ版あり
以下のコマンドをPowerShellから実行してインストール
code:ps1
scoop install keepass
使い方とか
なぜパスワードマネージャを使うことにしたか
必要なときだけ接続するUSB
手帳
Chromeパスワードマネージャ
パスワードのような大事な情報がいろんなところに分散していてよろしくないと感じていた
たまにどこにパスワードを書いたかわからなくなって探し回った
完全にわからなくなったこともある
再発行しないといけなくなった
パスワードロストの危険がある
パスワード管理の一元化が必要と考えた
複雑なパスワードの設定が難しいと感じていた
ブラウザで完結するものの場合はChromeが提案する自動生成のパスワードを使ったりしていた
ブラウザ外のサービスのパスワードを管理できず、それらは僕の脳みそで覚えられるようなパスワードになってしまっていた
ゲームとか
自動生成された複雑なパスワードを管理したい
パスワードマネージャを使う事によって不安もあった
パスワードマネージャが使えない場合どうする?
スマホ忘れたときとか
それはメモ帳やUSBを忘れたときも同じなのでリスクは同じ
パスワードマネージャのデータが漏洩したらどうする?
それはメモ帳やUSBが盗難にあったときも同じ
むしろ管理場所が分散してるほうが紛失するリスクが高いと言える
パスワードマネージャを使わない場合のリスクと天秤にかけたら、パスワードマネージャを使ったほうが安全だと判断した
管理方法の候補はいくつかあった
前述の管理方法のうちのどれか
フリーで使えるパスワードマネージャ
候補の選別
物理で管理する「手帳」「USB」はNG
紛失の危険がある
取り出すのがめんどくさい
どうせならクラウド管理したい
そもそもパスワード管理用途のサービスでないので色々心配
フリーで使えるパスワードマネージャ
keepassはだいぶ前にネットの知り合いのエンジニアにとても便利と教えてもらっていて興味があった
その他にもいくつかあったけれど、keepassが一番評判が良さそうだった
keepassはクロスプラットフォーム対応
スマホからも使える
mac, linuxも使えるらしい
クラウドでパスワードDBを管理してスマホと同期できる
これにかなり惹かれた
会社で使ってるkeeperと同様で、クラウドでパスワード管理ができる しかもフリー
ネットの情報も多い
もろもろ考慮して、フリーで使えるパスワードマネージャだとkeepassにすることにした
Chromeパスワードマネージャ
手軽に使えて手間がかからなくて便利ではあった
最初はこれだけで良いんじゃないか、とか思っていた
が、問題があった
Chrome外のパスワードを管理できない
一例
Steam
AWSのシークレットキー
サーバのsudoパスワード
個人的に一番致命的な悩み
パスワードを一元管理したいのに、Chromeで管理できないパスワードは別途管理、は嫌だった
それならChrome以外のパスワードマネージャで一元管理すればよい
Chromeのパスワードマネージャは危ない、とかいう話をちらほら
OSのパスワード入力を求められるのが危険、とか
暗号化されてるけれど平分で見れるのがダメ、とか
でもそれどのパスワードマネージャーでも同じような気もする
眉唾だけれど気にはなる
パスワードの手動登録ができない
パスワードマネージャの画面への登録は、実際のWebのパスワード登録画面からでないと設定できない
よってAWSのシークレットキーみたいなのは登録できない
パスワードにメモ欄がない
何のサイトのパスワードなのか忘れてしまう
2段階認証のバックアップコードとかもメモできない
みたいに、色々Chromeと比較検討したところ、keepassのほうが僕の悩みを解決してくれる、という結論に至った
使ってみて
便利
快適
パスワード生成のルールを制御できて良い
自動入力もできてよい
スマホ版も使い勝手が良い
GoogleDriveでDBの同期をするようにしているが環境構築は楽
パスワードのグループ化でフォルダみたいに管理できて分かりやすい
これはChromeには無い機能
大事なアクセストークンや、日常の大事な情報など色々保存して、メモを残せるので便利
2020/8/21現在はUSBやChromeパスワードマネージャに残っているパスワードを少しずつkeepassに移していってる 最終的にはすべてのパスワードを自動生成のパスワードに置き換える予定
パスワード漏洩のリスクを可能な限り下げる
自分でパスワードを覚えるのはkeepassのマスターパスワードとその他少数だけになるように
その他少数
Googleアカウント
keepassのDBがGoogleDrive上にあるため
PCのパスワード
Android/タブレットのパスワード
これを機会に大事なアカウントは二要素認証するように設定していった
二要素認証で怖いのはスマホを紛失したり、機種変したとき
永遠にログインできなくなる危険がある
なのでパスワードのメモ欄にバックアップコードを記録するようにした
今まで二要素認証設定したけれどバックアップコード控えてなかったので危なかった...
パスワードを一元管理してみると、自分がどれだけサービスを使っているのかが可視化できて面白い
アカウントめっちゃ持ってることが分かった
使っていないのも含めると100個くらいパスワードがある
使ってるパスワードだけでも40個ほど
パスワード移行が全然終わらんくてつらい
USBやChromeに残ってたパスワードのうち、明らかにもう使っていないアカウントは解約するようにしている
諸事情で解約できないものは、自動生成のパスワードに変更して放置
万が一サービス側のミスでパスワードが漏洩しても影響が最小限になるように
移行完了
手帳、USB、Chromeのパスワードをすべて集約できた
USBに保管してあったやつを移すのが一番だるかった
Markdown形式やods形式のファイルで保管してあったり
バックアップファイルもあった
全部中身を開いて重複してるやつは消した
これでUSBに平文保存してあったファイルはすべてKeepassに保管
バックアップコードもパスワード尽きZIPで保管
ちゃんと管理するようにしたことでセキュリティ意識が少し上がった
やってよかった
これからも継続する
悩み
移行が完了してからもう1年経った
時が経つのは早い
最近の悩みはマネージドなパスワードマネージャに移行したほうが良いのでは、というもの
マスターパスワードで暗号化してGoogle Driveに保存して管理しているが、自分のような素人がこんな管理してて安全なのか一抹の不安がある セキュリティの会社に管理運用を任せたほうが安全なのでは・・・など考えたりしている
マネージドな製品の候補としてはNorton付属のパスワードマネージャ 今までデスクトップでKeepassのアプリからCtrl-Vの自動入力で入れてた まぁこれだけでもだいぶ楽なんだが
が、「ファイルの添付」ができなくて移行に踏み切れない
AWSルートアカウントの二要素認証登録時のQRコードや、バックアップコード、GPGの公開鍵と秘密鍵など見られたくないファイルをKeepassだと管理できる Nortonの方ではそれができない
まぁbase64エンコードしてパスワード欄に入れてしまうことも可能ではあるが・・・ 大事な情報なので怪しいところに管理を任せたくないし、でも自分で管理するのも怖いし、どうしたものか...
追加の悩み
何回かやるとデータベースの同期に成功するはするが、そのうち変なことが起きたりしないか不安
と思ったけれど解消してた
解決