パスワードマネージャーを LastPass から 1Password に乗り換えた

従来からパスワードマネージャーとして LastPass を使ってきたが、今年1月に 1Password に乗り換えた。

背景

LastPass のセキュリティ・インシデント

きっかけは昨年8月に LastPass で発生したセキュリティ・インシデントだ。公式の発表によると、本番データのバックアップに第三者がアクセスしたことが確認され、そのバックアップには暗号化された保管庫データや基本的な顧客アカウント情報とメタデータが含まれていたそうだ。

保管庫データはマスターパスワードがなければ復号できないとのことだが、逆に言うとマスターパスワードがあれば LastPass に保存された (過去のある一時点での) パスワード情報が全て分かってしまうことになる。自分のマスターパスワードは LastPass の提示するベストプラクティスに従っていたので流出リスクは低いと推測されるものの、どうも LastPass の信頼性に対しては昔から疑問が投げかけられているらしく、 LastPass の主張をそのまま信用して良いものか迷いがある。

また基本的な顧客アカウント情報とメタデータの情報流出についても懸念があり、これだけでもユーザーについてあらゆる情報を得られる可能性がある。保管庫の情報流出に比べてリスクは小さいものの、あらゆるパスワードを預かる LastPass に対して不信感を強めるのに十分なインパクトがある。

移行の検討

このようなことからパスワード管理ツールを LastPass から別のツールへ移行することにした。 1Password と Bitwarden で悩んだが、最終的に 1Password の方を選択した。基本的な機能は両者特に遜色なかったが、 1Password の方が次のような点で UX が良かった。

• モバイルアプリ (iOS) のデザインがモダンで使いやすい
• アイテムのフォーマットの種類が多い
• ソーシャルログインで使用するアカウントの管理が楽
  • ‘Sign in with’ anything – and save it in 1Password | 1Password

やったこと

主にやったことは次の通り。

• 全てのパスワードを変更
  • 不要なサービスのアカウントを削除
  • ソーシャルログインを有効化
• LastPass から 1Password へデータ移行
• LastPass アカウントを削除
• Authenticator アプリを Google Authenticator から Twilio Authy へ移行

まず万が一流出した保管庫データが復号された場合に備え、 LastPass に保存していた全てのパスワードを変更した。その数は200以上あったので、パスワード変更作業は丸1日近く掛かった。二度とこんな作業したくないので、並行して保存するパスワードの数を極力減らした。まず不要なサービスのアカウントは削除した。次に可能な場合のみソーシャルログインを有効化してパスワード管理ツール上のパスワードを削除した。こうして LastPass に保存されたパスワードは半分以下に減った。

その作業を終えた後 LastPass から 1Password へデータを移行した。 LastPass からのエクスポート、 1Password へのインポートはそれぞれ非常に簡単で、ものの数分で作業は完了した。 1Password を1週間程度使用して使い勝手をチェックした後、特に問題なかったので LastPass のアカウントを削除した。

最後にこれは些事だが、 Authenticator アプリを Google Authenticator から Authy へ移行した。昔から Authy を使いたかったのだが、確か LastPass の MFA を設定した際に Authy で上手く設定ができなかったので仕方なく Google Authenticator を使用し始めたのだった。もうその制約も外れたので、ついでに移行することにした。また今まで iPhone にしか Authenticator アプリを追加していなかったが、 iPhone を紛失するとバックアップの SMS 認証も死んで詰む可能性があるので iPad にもアプリを入れておいた。 Authy であればマルチデバイスに対応している (Google Authenticator は多分対応していなかったと思う) 。

移行後

1Password も Authy も良い感じに利用できている。 今回は Bitwarden を選択しなかったが、ギリギリまで悩んだので引き続きウォッチしていこうと思う。