1Passwordレビュー 2024年: 安全ですか?
セキュリティ
1Passwordには軍用グレードのセキュリティ機能がある
1Passwordはセキュリティ対策に真剣に取り組んでいます。業界標準のAES256ビットの暗号化と高度なセキュリティプロトコルを採用しているので、パスワードやその他の重要な情報を安全に保てます。
1Passwordのボールトによって、保存されている情報がエンドツーエンドで暗号化されていることを知り、満足しました。つまり、ボールトに保存されている内容を1Passwordに知られることはなく、自分だけがこうした情報を復号化するための鍵を持っています。データを暗号化するために、秘密の「マスターパスワード」を作成できます。
さらに、1Passwordでは、パスワードが転送中であってもサーバーに向かう途中でも、トランスポート層セキュリティ(TLS)とセキュアリモートパスワード(SRP)で保護されるため、さらに暗号化できます。以下は、あらゆるセキュリティ機能に関する詳細です。
AES 256ビットの暗号化
1Passwordでは、個人データをAES 256ビットの暗号化で確実に保護できます。AES 256ビットの暗号化は、銀行や軍事組織によってデータを保護するために使用されています。そのため、ハッカーやサイバー犯罪者にパスワードを盗まれることを心配する必要はありませんでした。
マスターパスワードと秘密鍵による保護
1Passwordで、データのセキュリティを確実に強化できました。自分だけが知っているマスターパスワードを作成するよう求められ、サインアップ中にデバイス上に秘密鍵が生成されました。この秘密鍵は、マスターパスワードと組み合わせて使用され、データを暗号化および復号化します。最も気に入った点は、様々なセキュリティチェックと認証が自動的にルーティングされたため、個人データが悪意のある人の手に渡るのを防げたことです。
また、サインアップしたデバイスで秘密鍵が自動的に保存され、秘密鍵を含む緊急キットPDFドキュメントが生成されました。これにより、秘密鍵のバックアップが確実にオフラインになります。データにアクセスするには、マスターパスワードと34文字の秘密鍵が必要なので、誰かがマスターパスワードまたは秘密鍵を持っていても(両方を持っていない場合)、ボールトにアクセスすることはできません。
PBKDF2によるブルートフォース攻撃対策
1Passwordは、ブルートフォース攻撃からアカウントを保護するための鍵導出関数を使用していて、マスターパスワードを作成する際に、アルゴリズムや暗号を使用して、データの暗号化や復号化に使用されるキーが生成されます。ハッカーは、特別なハードウェアやソフトウェアを利用して、ブルートフォース攻撃と呼ばれる(一般に辞書攻撃とも呼ばれます)手段を用い、試行錯誤しながらパスワードを推測しています。
1Passwordは、PBKDF2を使用して辞書攻撃に耐性のあるキーを生成します。アカウントのパスワードとソルトは、100,000回もの反復でPBKDF2-HMAC-SHA256に渡されます。つまり、高度な処理能力(数百万の推測)を持つハッキング手法を用いても、暗号化されたデータをすぐに復号化することはできません。
安全な入力と自動ロック
1Passwordはキーロガーから入力欄を保護すると主張していますが、実際にはそうではないことがわかりました。キーロガーは、パソコン上のキーストロークをすべて記録するコンピュータープログラムで、こうしたプログラムを使用して、パスワードを入力する際などに、入力内容を知ることができます。
1PasswordのWebサイトには、「キーロガーからデータを保護する」や「1Passwordは、安全な入力欄を用いて、他のツールがマスターパスワードなどの入力内容を認識できないようにする」と記載されています。
Windowsパソコンにキーロガーをインストールし、キーストロークが記録されているかを確認してみたところ、 残念ながら、1Passwordアプリのあらゆるエントリやマスターパスワードも記録されていました。これについて問い合わせると、サポート担当者に、Webサイトの記載内容を誤解していて、1Passwordはすでに侵害されたデバイスについては保護しないと言われました。
1PasswordのWebサイトには、ユーザーをキーロガーから保護すると明記されている一方で、こうした回答を得たので不安になりました。他にも何か誤解を招くような記載があるかもしれないと思いました。
良い点は、クリップボードに保存されている情報も定期的に削除できることで、たとえ誰かにデバイスにアクセスされても、クリップボードの情報を見られることはありません。同様に、クリップボードのデータの利用を試みるクリップボードツールからも身を守れます。クリップボードの情報は90秒以内に削除されます。
ボールトへの不正アクセスを防ぐために、10分間操作がないと自動ロックされます。自動ロックの設定時間を調整することもでき、 1分から1時間まで選べ、「never(自動ロックしない)」を選ぶと、自動ロック機能を完全に無効にできます。5分に設定したところ、正常にロックされました。また、Touch ID、iPad、iPhone、Androidデバイスを搭載したMacで、指紋を用いて容易にロックを解除することもできます。
TLSおよびSRPで転送中のデータを保護
1Passwordは、TLSおよびSRP(Secure Remote Password)プロトコルを使用して、データがデバイスからサーバーに移動する際に保護できます。これにより、転送中にハッカーにデータ(およびパスワード)を傍受されるのをより防げます。また、信頼できるWebブラウザでのみ機能するので、改ざんされたWebブラウザにデータが渡わたることはありません。
二要素認証(2FA)
1Passwordには、その他の重要なセキュリティ機能があります。二要素認証(2FA)を備えたWebサイトに対応していて、AuthyやMicrosoft Authenticatorを使用して、1Passwordアプリへのサインインを有効できます。また、2FAを備えたWebサイトを確認し、認証コードを1Passwordに保存できます。
1Passwordで、Webサイトのフォームに記入する際に認証を求められ、満足しました。これにより、Webサイトに潜んでいる悪質なフォームによって情報を盗まれることはありません。また、クローンWebサイトを構築してデータを盗むフィッシングサイトからも身を守れます。
これについて、ログイン情報をFacebookドメインに保存したり、YahooのWebサイトにアクセスしたり、ログイン欄への自動入力を試みたりしてテストしました。Yahooドメインに関連付けられたログイン情報がボールトに保存されていないため、1Passwordによってログイン欄に入力されませんでした。
プライバシー – オープンソースのデータ形式を採用
1Passwordは、プライバシーにこだわりデザインされています。アカウントのパスワードとボールトに保存されているデータが公開されることはなく、エンドツーエンドで暗号化されています。1PasswordにはOPVaultと独自のAgile Keychainという2つのオープンソースデータ形式が使用されていて、データがサーバー側で安全に同期され、セキュリティアーキテクチャが公開されています。こうしたオープンデータ形式は、AppleのiCloudやDropboxで使用されているものと同じタイプのデータ形式です。
また、外部のアプリ「Privacy」とも連携しています。Privacyでは、オンラインショッピングの際に元のクレジットカード情報を隠せるプライバシーカードや仮想カードを作成できます。
近年、1Passwordでは独立監査が実施され、Cure53、AppSec、Bugcrowd、CloudNative、Nvisium、Onica、Independent Security Evaluators(ISE)により監査され、SOC2 Type2認定を受けています。これは、顧客の利益とプライバシーを保護するためにデータを安全に管理していることを意味しますが、KeeperのようにISO 270001認定を受け、デジタルボールトの管理方法を改善してくれることを望んでいます。
機能・特徴
複数のカスタマイズ可能な機能
1Passwordでパスワードを容易に管理できます。強固な暗号化とセキュリティプロトコルがある他、競合他社にはないユニークな機能を備え、データストレージ、データ共有、データセキュリティがあります。1Passwordがあるエキサイティングな機能に、カスタマイズ可能なボールト、ものみの塔、トラベルモード機能があります。
複数のボールト
1Passwordで、データを保存するための複数のボールトを作成できます。ボールトは、データベースやファイルフォルダのように、あらゆるデータ項目を格納します。実際に、複数のボールトを作成して、プライベート、仕事、財務、健康などに分類しました。また、iOSアプリにも面白い機能があり、他のデバイスではアクセスできない「スタンドアロンのボールト」を作成できました。
様々な種類のデータセットをボールトに保存できます。ログイン情報、パスワード、メモ、医療記録、社会保障番号、ID、銀行口座、ソフトウェアライセンスなどの詳細を作成、編集、保存できました。また、APIクレデンシャルを作成し、パスポート情報、データベース、メール、サーバーアクセス情報、暗号秘密鍵、運転免許証のコピーを安全に保管できました。デスクトップアプリの右上にある[新規アイテム]をクリックするだけで、パスワードや機密情報を追加できます。
また、特別に許可された人のみがアクセスできる「共有」ボールトを作成することもできます。テスト中に家族用の共有ボールトを作成し、3人にアクセスを許可しました。ボールト内のあらゆる情報がAES256ビット暗号化で暗号化されていたので、満足しました。
ものみの塔
ものみの塔は1Passwordのセキュリティアラートシステムで、 脆弱なパスワード、再利用されたパスワード、データ侵害されたパスワードについて警告します。また、クレジットカード、運転免許証、身分証明書、パスポートの有効期限についても通知され、こうした情報はデバイスでローカルに確認されます。
Watchtowerのデータ侵害モニターは、最近のデータ侵害を追跡するために常に更新されていて、過去にデータ侵害されたパスワードのデータベースをキュレーションするWebサイト、haveibeenpwnedからデータをフェッチできます。1Passwordによって、以前侵害されたパスワードにフラグが立てられませんでしたが、haveibeenpwnedのWebサイトによって、こうしたパスワードが識別されました。
トラベルモード
1Passwordのトラベルモードは、国境を越えて機密情報を隠すためにデザインされていて、 ジャーナリストや研究者、政治難民など、機密情報の公開を防ぎたい場合に役立ちます。
トラベルモードでは、1Passwordアカウントのボールトが、旅行に安全としてマークしたものを除き、すべて自動的に非表示になります。トラベルモードは、1PasswordのWebアカウントからのみ有効にできます。実際にテストした際、アカウントにログインしてプロファイルに移動し、「トラベルモード」下のトラベルアイコンを有効に切り替えました。
1Passwordには、パスワードを安全に保つための容易にカスタマイズ可能な機能が複数あり、シームレスに機能しました。唯一の懸念は、個人アカウントのマスターパスワードを忘れた場合に回復する手段がないことでした。アカウントを作成すると生成される「緊急キット」ドキュメントを印刷する必要があります。このドキュメントには、秘密鍵、サインインアドレス、メールアドレス、ペンでアカウントのパスワードを書き留めるためのスペースが含まれています。
家族、チーム、ビジネスアカウントを持っている場合、アカウントの所有者またはサインインできる管理者がパスワードリセットリンクを生成できます。このリンクがメールで届き、新しいパスワードを作成して、再び1Passwordアカウントにアクセスできるようになります。
全体として、1Passwordでシームレスにパスワードを管理でき、非常に容易にアプリの使用、パスワードのインポート、ログイン情報の安全維持、他のユーザーとのパスワードの共有が可能です。気に入っている機能は、旅行中に機密データとボールトを隠せるトラベルモードです。
使いやすさ
容易なインストールとセットアップ
1Passwordを容易にインストールして使い始められました。無料トライアルにサインアップした後、マスターパスワードを作成し、1Passwordアカウントにログインしました。ログインすると、ダッシュボードにボールトを示す使いやすいインターフェイスと、アプリをシームレスにセットアップするのに役立つウェルカムノートが表示されました。5分足らずでサインアップしてアプリをダウンロードし、利用開始できました。
1分足らずで1Passwordアカウントにデータをインポートできました。1PasswordではCSVファイルのみインポートできます。Chromeブラウザに保存されているパスワードをエクスポートした後、1PasswordのWebプラットフォームのユーザーアカウントに移動して、パスワードをインポートしました。また、Dashline、iCloud Passwords、KeePassX、Thycotic Secret Server、RoboFormなどの他のパスワードマネージャーや、その他の1Passwordアカウントからデータをインポートすることもできます。
デバイス
1Passwordは人気のあるデバイスで動作し、クロスプラットフォームをサポートしています。Windows PC、Android、iOSデバイスでテストしました。また、macOS、ChromeOS、Linux(Ubuntu、Debian、Linux Mint、Fedora、CentOS、RHEL、openSUSEディストリビューション)、コマンドラインでも機能します。Chrome、Firefox、Edge、Safariなどのあらゆる一般的なブラウザ用の拡張機能があり、Web版である1Password Xに自動的につながっています。
外出先でパスワードを素早く保持または使用する必要がある場合は、1PasswordのAndroidおよびiOSアプリが便利です。アプリを携帯電話にダウンロードしたら、緊急キットのQRコードをスキャンし、マスターパスワードを入力するだけで使い始められました。iOSアプリからFace IDの顔認証を有効にするように求められました。 Androidアプリもシームレスに動作しました。サインインした後、機能を操作しながらボールト内の情報を追加および編集できました。
どちらのアプリも使いやすく直感的に操作でき、機能はお気に入り、カテゴリ、タグ、設定の4つのメニューに分類されています。[カテゴリ]メニューには、ボールトに保存されているログイン情報、パスワード、その他のアイテムが表示され、[設定]タブでは、アプリに変更を加えたり、新しいボールトを作成したり、セキュリティオプションを有効にしたりできます。
Windowsでの1Passwordのセットアップ
1. 1PasswordのWebサイトで無料トライアルにサインアップします。
2. 緊急キットファイルをダウンロードして保管します。
3. マスターパスワードを使用して1PasswordのWebサイトにログインします。
4. ダッシュボードまたはメインページのフッターからアプリをダウンロードします。
5. アプリをインストールして起動します。
6. ログイン欄にマスターパスワードを入力して、アカウントにアクセスします。
7. [新規アイテム]をクリックして、パスワードやその他の詳細を追加します。
全体として、1Passwordは使いやすいアプリで、パスワードを保存、管理、保護できます。直感的に操作でき、インターフェイスに機能がわかりやすく表示されている点が気に入りました。アプリがクラッシュしたり、ログインに時間がかかったりすることはありませんでした。
サポート
1Passwordにはサポートのオプションがあまりありませんが、数多くの記事やFAQを含む詳細なナレッジベースがあります。これには、対応しているあらゆるデバイスのステップバイステップのハウツーガイドやその他のトラブルシューティングのヒントが含まれます。
サポート担当者から直接回答が欲しいなら、1Passwordには迅速なメールサポートがあります。実際にメールで質問を送信した際、10分以内に返信があり、あらゆる疑問に対する回答や、問題が発生した場合にそれを解決するための方法が記載されていました。
また、1Passwordのコミュニティフォーラムから質問に回答することもできます。フォーラムには25万を超える質問があり、毎日およそ100通以上の返信があります。質問を投稿したところ、4時間以内に回答がありました。Twitterハンドルを介してサポートを得るためのオプションもあります。同様に迅速に回答があり役に立ちました。 しかし、ライブチャットや電話サポートがあることを期待していましたが、こうしたオプションはありませんでした。
価格
1Passwordには非常に価値があります。個人、家族、チーム、企業向けの4つのプランがあり、毎年請求されます。企業向けプランを除くプランで、1GBのデータストレージを利用できます。クレジット/デビットカードまたは1Passwordギフトカードでのみ支払い可能です。
個人プランは最も安価で、 一つのユーザーアカウントのみ利用できますが、無制限のデバイスで動作します。複数のボールト、無制限のパスワードの作成、トラベルモード、2要素認証、1 GBのストレージ、パスワードの共有、削除されたパスワードの回復、24時間年中無休のメールサポートの利用が可能で、人気のあるデバイスに対応しています。
家族プランでは、個人プランのあらゆる機能を5人のユーザーが利用でき、追加料金を支払うことでメンバーを追加できます。また、権限をコントロールでき、他のメンバーのアカウントがロックされた際に、再びアカウントにアクセスするためにサポートできます。
チームプランでは、個人および家族プランのあらゆる機能に加え、組織全体の多要素認証が可能なDuo統合や、1ユーザーあたり1GBのストレージが含まれています。ビジネスプランには、上記のプランのあらゆる機能、VIPサポート、1ユーザーあたり5 GBのストレージ、20のゲストアカウント、アクティビティログ、使用状況レポート、カスタムロール、カスタムグループが含まれています。
14日間の無料トライアル
1Passwordには無料プランはありませんが、14日間の無料トライアルがあるのでノーリスクで試せます。サインアップするには、クレジットカード情報を入力する必要がありますが、14日間のトライアル期間が終了するまで料金を請求されることはありません。
1Passwordの価格設定に関する注意事項:
- 課税対象の国にいる場合は、トライアル期間の終了時にその金額が全体の料金に加算されます
- 年間請求のみです
全体として、1Passwordには魅力的なプランがあり、費用対効果があります。無料トライアルを利用してあらゆるプランを試し、最適なプランを見つけることをお勧めします。
結論
1Passwordは優れたパスワードマネージャーです。安全で使いやすく、機密情報を保存でき、複数のボールト、エンドツーエンドの暗号化、パスワードに関するセキュリティリスクを警告する監視塔機能など、数多くのエキサイティングな機能があります。
1Passwordのあらゆる機能をテストしましたが、満足しています。複数のボールトを作成し、ログイン情報、パスワード、メモ、医療記録、社会保障番号、IDカード、銀行口座、メールアドレスなど、何百もの個人情報をインポートしました。アプリはあらゆるデバイスで使いやすく、サポートは役に立ち、14日間ノーリスクで試せました。1Passwordの機能に満足しただけではなく、あらゆる情報を安全に保つための方法が見つかりました。
1Passwordに関するよくあるご質問
1Passwordは役立ちますか?
はい。 1Passwordには、パスワードマネージャー業界で最高の機能がいくつかあり、複数のパスワードを保存して、外出先でアクセスできました。1Passwordでは、パスワード、メールアドレス、秘密鍵などの機密データを安全に保存、使用、共有できます。
1Passwordを無料で利用できますか?
はい、14日間無料で利用できます。無料プランはありませんが、無料トライアルを利用して試せます。サインアップ時にクレジットカード情報を入力する必要がある他、自動請求されないように、トライアル期間が終了する前に解約する必要があります。無料トライアルを利用して、企業向けアカウントを除き、個人、家族、ビジネス、チームアカウントにサインアップできます。
1Passwordは本当に安全ですか?
100%安全です。1Passwordには、AES256ビットの暗号化などの軍用グレードのセキュリティ機能があり、解読されることはありません。また、デバイス上でローカルに生成された、自分だけが知っている秘密鍵など、最先端のセキュリティプロトコルも備えていて、脆弱なパスワードが警告され、国境を越える際に機密情報を隠すことができます。
1Passwordには費用対効果がありますか?
はい。 1Passwordでは複数のセキュリティ機能を1杯のコーヒーの値段よりも安い料金で利用できます。カスタマイズ可能なボールトを作成でき、何千ものデータを保存できるため、費用対効果があります。