パスワード多すぎて覚えられない問題を解決するガジェットを使う

パスワード多すぎて覚えられない問題を解決するガジェットを使う

 

パスワードマネージャの専用デバイスであるクレイジースモール　パスワードロム２４０を使用してみよう。

製品ホームページは https://cooyou.org/pwrom240

登録は２４０件可能。１件につきパスワードは２つ登録できるので最大４８０件のパスワード登録ができる。

本体はUSBケーブルで接続してバスパワーで動作するので、パソコンに接続するとログイン画面がでる。起動時間は１秒くらいで待つことはない。電源OFFはケーブルを抜くだけである。

付属のマスターパスワードの用紙があるので、５桁の番号を入力する。本体背面にジョイスティックがあるので、上下で数値を変更。中央下のRボタンで右にカーソル移動、左下のLボタンで左にカーソル移動できる。

入力直後は数値は表示されるが、覗き込み防止のためすぐに＊表示となる。１０秒程度操作しないとスリープとなる。なお、スリープ機能はこのログイン画面以外では機能しないようになっている。ログアウト忘れを防ぐためだ。自動ログアウト機能はない。

右下のSWボタンを押すと認証されてアカウントテーブル画面になる。パスワードを間違えた場合は、エラー表示となり、数秒待つと再度ログイン画面に戻る。再度打ち直してログイン実行する必要があるが、連続で間違うと待ち時間が長くなる。これによって不正ログインを諦めるような設計方針だ。よくありがちな自動的にメモリを全消去するような実装ではない。こどもがおもちゃと勘違いしていじっている間にデータが消去されたのでは笑い話にもならないからだ。

アカウントテーブルはページ番号が上部に表示されていて、１ページから４０ページまでジョイスティックの左右で移動できる。ジョイスティックをスライドさせると移動中はページ番号だけの表示なので高速に遷移する。

はじめはなにも登録していないので、表示されるものはない。１ページに６件のアカウントが登録できる。見出しとして１件につき２行（１行が８文字なので１６文字）が表示される。基本的にスクロールで移動するのではないので、ぱっと見でなにが登録されているかが分かる。検索機能は無いが、どのページあたりに登録したかというのがだいたい分かっていれば探すのには困らないだろう。この画面からLボタンを長押しすることでログアウトする。ログアウト時に前回見ていた位置が記憶されるので、次回はその位置から表示される。

ページ内はジョイスティックの上下でカーソル移動する。登録したいページと位置を自由に決めてSWボタンを押すとアカウント画面になる。

ここでは、アカウントの連番の管理番号が表示されていて、実際に登録されたタイトル、ID、パスワード（２つ）が表示される。各項目は半角で最大３２文字が登録可能だ。項目はジョイスティックの上下で移動する。Lボタンでアカウントテーブルに戻る。

タイトルおよびIDは３２文字表示されていて、パスワードは＊＊表示固定だ。

タイトルを選んで、SWボタンを押すと、編集画面になる。１文字目にカーソルがあるのでジョイスティックの左右で文字種が選択できる。文字種は数値、アルファベット小文字、アルファベット大文字、記号の４種だ。ジョイスティックの上下で選択された文字種の中から文字を選択する。ちなみに大抵の操作は、ボタン押しやジョイスティックスライドのままだと連続的に動作するようになっている。起動時のSWボタン長押し、Lボタン長押しでログアウトおよびSWボタン長押しで編集完了、の場合の３つの操作だけボタンを長押しすると通常と異なる動作となる。

文字が決まったらカーソルを右に移動するためRボタンを押す。上下には移動できない。またカーソル左移動はLボタンとなるが、バックスペースとして動作する。Rボタンを何度も押すとスペースが入ることになるので、文末がスペースにならないように注意したい。文末の文字上にカーソルが表示されていれば問題ない。

１行は８文字なので、９文字目は２行目になる。このように最大３２文字入力可能だ。入力が終わったらSWボタンを長押ししてアカウント画面に戻る（編集が記憶される）。ここで、SWボタンを普通に押すと編集が破棄されるので注意が必要だ。つまり、アカウント画面ではパスワードは伏字なので参照するための操作として、長押ししないでSWボタンを押すことで、アカウント画面と編集画面を簡単に切り替えられる操作となっている。編集画面は伏字にはならない。

アカウント画面からはキーボード出力ができる。各項目にカーソルを移動してRボタンを押すことでキーボード出力される。記号が含まれている場合、文字化けすることがある。これは本体がUSキーボードとして動作するためで、パソコンやスマホのOSの認識が日本語キーボードの場合に起こる現象だ。取説やホームぺージのセットアップを読んで事前に設定しておくと文字化けしないで正しく動作する。キーボード出力した際に文字に下線が入る場合は、日本語変換のモードになっているので、入力前には直接入力できるよにIMEをOFFする必要がある。IMEがONのままだと、ローマ字変換などがされて文字化けする可能性がある。また、アルファベットの先頭を自動的に大文字に変換する、カンマを自動的に変換する、など補完機能が動作していると文字化けの原因になるので、直接入力ができる状態にしておくことは必須である。Web画面などでは例えば電話番号の入力欄では自動的にIMEがOFFになるなどの動作が多いが、これはWeb画面の作りが親切かどうかによるのであまりあてにならない。

さて、パスワードマネージャには自動的にパスワードを生成する機能がつきものだが、本機もその機能がある。本機で可能なのは、IDの編集画面では、小文字大文字英数、小文字英数で、パスワードの編集画面では小文字大文字英数、小文字大文字英数記号である。やり方としては編集画面で１文字目にカーソルを合わせて（つまりなにも入力されていない状態で）Lボタンを押す。すると１６文字のランダムな文字が生成される。その後にこれを編集しても構わない。Lボタンで文字を消して１文字目に戻り、再度Lボタンを押すと再度１６文字生成されるが、生成規則が切り替わっているので、生成規則２種を切り替える場合はやり直し操作を１度行えばいいということだ。

特にそのほかに生成規則の設定はないので、迷うことは無いだろう。なぜ１６文字固定かというと、１６文字あれば十分に強固であることが知られているからだ。他のパスワードマネージャの場合は文字数や文字種などを細かくユーザーに設定させるが、正直言ってユーザーはなにを設定すればいいのか迷うだけだと思う。本機ではユーザーが本体上で設定しなければならないことは最小限となっている、というかほぼ何もなく極めて単純かつ簡単に動作する。

本体に記録されたアカウントデータ（最大２４０件）を完全消去するには、右下のSWボタンを押しながらUSBケーブルを接続して起動する。３秒程度押したままで、その後離すと、通常のログイン画面が表示されるのだが、よく見るとloginの横に-記号がついている。この状態でマスターパスワードを入力してSWボタンを押してログインしてみよう。

すると、clearという表示のログイン画面のような画面に遷移する。

ここで、消去用のパスワード68235を入力してSWボタンを押すと、消去が開始されるので本当に消去していい場合だけ実行しよう。通常の運用ではまず使用しない機能だと思う。本機が不要となり捨てる場合に実行するくらいか。

この全消去を実行したとしてもマスターパスワードは引き続き使えるので、出荷状態に戻ったことになる。

マスターパスワードは変更する方法が無いため、購入者が誰かに譲ったり転売することは控えるべきだ。

消去が開始されると...のようなアニメーション表示となり、２分程度で完了してdoneと表示される。

ケーブルを抜き差しして再起動後、ログインしてみると、登録データが消えているのが確認できるはずだ。

ところで、本機に記録されたアカウントデータがクラッキングされることはあるだろうか？まず、パソコンやスマホのようなOSは搭載されていないので、ウィルス的なものが動作する可能性は無いだろう。唯一USBケーブルでつながっているのだが、パソコン側からアクセスしても単なるキーボードでしかないので、ウィルスや悪意のあるプログラムが感染する余地が無い。もちろん無線やBlueToothでは接続できない（物理的に実装されていない）

次に、本体が悪意のある者に盗まれたらどうだろうか？この場合、マスターパスワードの記載紙が一緒に盗まれた場合は、ログインできるのでデータを見られてしまう。それは防ぎようがないのでマスターパスワードの記載紙は本体とは別の場所で管理すべきだろう。ここではマスターパスワードが分からないと仮定して考える。その場合ならログインできないので、データは見ることはできない。

それは本当だろうか？仮に内部で使用されている電子部品から直接データを吸い上げたらどうだろうか？それを心配するのは、つまり悪意のある者が電子機器の専門家であり、本機を盗むか、偶然どこかで拾うかくらいしかありえそうにないので、その時点で可能性はかなり低いと言えるが、可能性が無いわけではない。

しかし、データを入手できたとしても、マスターパスワードおよびアカウントデータは暗号化されているので解読は出来ないだろう。理論上100%出来ないとは言ってはいけないのだが、まず出来ないと考えていい。

では、入手したデータを、別の購入した機体（マスターパスワードはあるとして）に移植したらどうだろうか？実は、それでも元のデータを見ることは出来ない。なぜなら機体ごとに暗号化計算値が異なるからである。

このようにかなり強固にデータは守られているので、金庫に預けたノートと思って使うことができるのだが、前述のように金庫の鍵に相当するマスターパスワードの管理だけは自分で行う必要がある。また、本機を紛失、故障の場合でもデータを失いたくない場合は、もう１台購入して、アカウント登録の手間は多少かかるけれども、フェイルセーフとして少しだけ我慢して２台同時に運用したほうがいいと思う。それで運用を継続していけるのだから２台揃えるのは最善の選択肢だと言える。

かつて、パスワードをどう管理すべきかという話題で、まともな解決策を出した企業があるだろうか？おそらく、どの解決策においてもパソコンやクラウドの枠を超えることができない欠点があったに違いない。しかし、企業の巧みな宣伝文句により企業自身が危険な欠点を理解しているにも関わらず、自社サービスを拡販するために、危険がまるで無いかのように安全で便利なものだと信じさせれられてきた。本プロダクトは世の中が今この時点でまさにそのような安全神話に傾倒しつつあることに対するアンチテーゼでもある。すべてを否定するわけではなく、個人が自分自身でパスワードを管理したいという場合に自由と選択肢を与えるものだ。

クレイジースモール　パスワードロム２４０ 製品ホームページは https://cooyou.org/pwrom240