PCでもスマホでも生体認証可能なパスワード管理ソフト「Enpass」

　筆者は現在、PC環境を再構築しており、これまでノートPC 1台ですべてまかなっていたのを、デスクトップ、ノート、サブノートの3台構成に変更しつつある。サブノートとして利用するのは富士通の「LIFEBOOK UH75/B1」(以下、UH75)だ。

　UH75は重量約761gで世界最軽量を謳う13.3型モバイルノート。この製品については、別途レビューをお届けする予定だが、今回は生体認証機能を持つデバイスで利用すると便利なパスワード管理ソフト「Enpass」についてご紹介する。

富士通「LIFEBOOK UH75/B1」

パスワード管理は厳重に、でも簡単に運用したい

　改めて強調するまでもなく、パスワード管理は非常に重要だ。第三者に類推されたり、ブルートフォースで破られないよう強固にすべきだ。また、パスワードが強固でも、サービス運営側から漏洩する可能性があることも考えると、各サービスごとにパスワードは違うものを利用すべきだ。

　強固なパスワードとは、長くて、ランダムで、アルファベットだけでなく数字や記号も入り交じったものとなる。だが、そうすると、覚えきれなくなってしまうので、テキストやExceにで各アカウント/パスワードを記録している人もいるかもしれない。しかし、それでは、そのデータが漏洩してしまうと、すべてのアカウント/パスワードがばれるわけで、せっかくの強固なパスワードも元も子もなくなってしまう。

　そこで利用したいのがパスワード管理ソフトだ。パスワード管理ソフトとは、さまざまなサイトやサービス、システムのアカウント/パスワードを登録し、入力を簡便化するためのソフトだ。パスワード管理ソフトに保存されたデータベースは暗号化される。このデータベースを開くにはマスターパスワードを用いる。強固なパスワードも1つくらいなら記憶しておけるので、強固なものをマスターパスワードとして登録する。

　パスワード管理ソフトでは、各エントリーのアカウントやパスワードを1クリックでクリップボードにコピーできるので、長いパスワードも即座に入力できるという具合だ。また、たとえば文字数や使う文字種などをの指定をした上でランダムパスワードを生成する機能もあるため、新規アカウント作成のさいにも重宝する。

　このようにパスワード管理ソフトを使うと、強固なパスワードを簡単に運用できるようになる。

　筆者は長年パスワード管理ソフトを使っている。直近まで使っていたのは「KeePass 2」だ。無償のソフトで、オープンソースとなっていることから、信頼性も高く、定評がある。また、オープンソースであるため、そのデータベースを扱えるサードパーティアプリもあり、筆者はAndroid用の「Keepass2Android」を併用している。KeePass 2のデータベースはOneDrive上に保存してあるので、Keepass2Androidからも読み込めるし、スマートフォンで新規エントリーを追加することもできる。

KeePass 2

　ちなみに、OneDriveで利用するMicrosoftアカウントは2要素認証を有効にしているので、外部からパスワードデータベースの内容に辿り着くのは相当困難で、筆者がスマートフォンやPCごと拉致監禁されでもしないかぎりデータが漏洩することはないはずだ(と信じている)。

PC版は無償で利用できるEnpass

　今回KeePassからEnpassに乗り換えたのは、Enpassが生体認証に対応しているからだ。LIFEBOOKが指紋認証に対応しているので、PCへのログイン以外にも活用したいと思い探していたらEnpassに辿り着いた。

　パスワード管理ソフトを使えば、覚えるべきパスワードは1つで済むが、それでも求められるたびに長いパスワードを入力するのは億劫になってくる。LIFEBOOKとEnpassの組み合わせなら、指をさっとなぞるだけでデータベースのロックを解除できる。

　以前、指紋認証に対応するパスワード管理ソフトを利用していたが、指紋認証企業大手のAuthenTecをAppleが買収して以降、指紋センサー搭載PCの減少とともに数が少なくなったように見受けられる。近年、富士通が自社開発する指紋センサーや、他のメーカーの赤外線カメラなどの実装が容易になったことで、生体認証機能がWindows Helloとして、そこそこの数のPCに実装されるようになった。それでも、ざっと調べた限りではWindows Helllo対応を謳うPC用パスワード管理ソフトはあまりないようだ。

LIFEBOOK UH75/B1はWindows Hello対応の指紋センサーを搭載

　このEnpass以外ではIntel Securityの「True Key」も顔認証と指紋認証に対応とされている。生体認証は有償オプションなのだが、有償アップグレードの画面には顔認証のことしか書かれておらず、本当にPCで指紋認証が使えるのか確証が持てなかったのでEnpassを選んだ。今回検証はしていないが、EnpassはWindows Hello対応なので、これに対応するカメラでの顔認証にも対応できるはずだ。

　このほかEnpassのいい点は、まずKeePassのデータベースをインポートできること。現在ではほとんど使っていないものもあるが、KeePassに登録しているアカウントは120個ほどある。移行にあたり、これらを手作業でコピー&ペーストするのはしんどい。だが、KeePassでXML形式にエクスポートすれば、Enpassにワンタッチで取り込める。後に乗り換えることを考慮すると、何らかの形でデータベースをエクスポートできるものを選んでおくといいだろう。Enpassでは、TXTかCSV形式でエクスポートできる。

　もう1つEnpassのいい点は、対応プラットフォームの広さ。Enpassは、PC版以外に、iOSやAndroidはもとより、Blackberry版やLinux版、Chromebook版なども用意されている。加えて、iOSおよびAndroidについては、こちらも生体認証に対応しているのだ。スマートフォンこそ、長いパスワードの入力は面倒。筆者のXperia X Performanceは指紋センサーを搭載しているので、Enpassをより便利に活用できるということで使ってみることにした。

幅広いプラットフォームで利用できる

プラットフォームにより、機能性に若干の違いあり

　さて、ここまでEnpassの機能を一緒くたに扱ってきたが、実際はプラットフォームにより機能性が若干異なる。

　まず、デスクトップ版について説明しよう。Windows、macOS、Linux版は価格は無償で利用できる。この3つでも若干機能に違いはあるが、ここではWindows版を取り上げる。

デスクトップ版Enpass。カテゴリとしてはログインのほか、クレジットカードや、免許、旅行などもあり、メモ的にも使える

　基本機能として、Windows版Enpassは、アカウント/パスワードの保存に加え、カテゴリによる分類、パスワードの強さの判定、同一パスワードの検出、古いパスワードの検出、ランダムパスワードの生成機能などを搭載する。金融系のサイトなどでは秘密の質問を登録するものもあるが、それを入力する欄も用意されている。

エントリーに登録可能な内容。パスワード生成機能もある

　ランダムパスワードについては、長さ、含まれる数字/記号/大文字の数を指定可能。面白いのは「発音可能」というオプションがあり、これを使うと、単語を用いたパスワードを生成する。長いパスワードもたとえば「hello-my-name-is-wakasugi-my-birthday-is-0123」という文章にすると、内容は単純で覚えやすいが、パスワードとしてはそこそこ強くなる。さすがにこの例だと簡単に類推されてしまうが、Enpassで発音可能なパスワードを利用すると「bold-chou-tempt-fungi-ordain-gang-malady-knox-mulct-polis」というパスワードが生成される。

"発音可能"なパスワードも生成可能

　だが、KeePassにあった「字面が似た文字を使わない」という設定がないのは残念。大文字のI、小文字のl、数字の1は、あるいは数字の0と大文字のOなどは、フォントによっては区別がつけづらく、手入力が必要なときに間違える可能性が高い。KeePassの方ならこれらの文字を使わないパスワードを生成できる。

　クラウドストレージを利用した同期にも対応する。具体的には、iCloud(iOS/macOSのみ)、Dropbox、Google Drive、OneDrive、Boxおよび、WebDAV/パーソナルNASなどを利用できる。これにより、複数のPCで同じデータベースを参照できる。

　セキュリティ面では、デフォルトでは、Enpassが1分間アイドル状態になると、Enpassがロックされる。また、アカウント/パスワードをコピーしたさい、30秒でクリップボードはクリアされる。PINコードによるクイックアンロック機能もあるが、セキュリティを考えると、これはお勧めできない。

　なお、筆者はクリップボードの履歴を保存するソフトを別途使っているが、クリップボードは消去されても、こちらの履歴は消去されない。この手のソフトを利用しているユーザーは留意しておこう。

各種クラウドストレージを使ってデータベースを複数のマシンで同期できる

デフォルトではEnpassが1分アイドルになるとロック、クリップボードは30秒で消去される

　細かいところでは、高DPIに対応。Per-Monitor-DPIにも対応しているので、DPIが異なるディスプレイ間でウインドウを行き来しても、フォントやレイアウトが崩れない。4K修行僧としては、ここもポイントが高い。

ブラウザ拡張で自動入力に対応

自動ログインを可能にするブラウザ拡張も用意

　もう1つ便利なのが、ブラウザ拡張も用意されている点。通常、パスワード管理のデスクトップアプリでは、パスワードの入力が必要なときに起動し、アプリとブラウザを行き来しつつ、アカウントやパスワードをコピー&ペーストする必要がある。ブラウザ拡張を使うことで、各エントリーにURLを登録しておけば、そのサイトを開いたさいにURLを検知して、アカウント/パスワード入力を自動で行なってくれる。また、新規にサイト上でアカウント/パスワードを入力すると、それを自動的にデスクトップ版のデータベースに保存することもできる。

　パスワード保存機能は、ブラウザにもあるので、それを使っている人もいるだろうが、アプリ/コンテンツマーケットでの支払いのときなど、通常のログインとは違う形パスワードの入力を求められることがある。そういう時はブラウザの機能ではうまく対応できない。ブラウザ拡張とデスクトップ版を併用することで、あらゆる局面で簡単にパスワード入力ができるようになる。

　ただし、この原稿を執筆している5月中旬時点で、少なくともChromeのブラウザ拡張はうまく機能していない。ブラウザ拡張を利用するには、ツール→設定→ブラウザーで、ブラウザ拡張機能を有効にするにチェックを入れるのだが、そうしても機能しない。この点についてはメーカーも把握しているようで、近日中に解決の予定とされている。

ただし、5月中旬時点でChrome用はうまく動作していない

Windows Helloに対応するUWP版

　先に、Enpassはプラットフォームが幅広いと書いたが、じつはUWP版も用意されている。そして、生体認証を利用できるのはUWP版の方で、デスクトップ版では使えないのだ。

　UWP版の基本機能はデスクトップ版とほぼ同じ。生体認証が使える点で、UWP版の方が高機能とも言える。ただし、UWP版は無償で使えるのは20エントリーまで。筆者のようにそれ以上の数のエントリーを保存している場合、9.99ドルの有償版を利用する必要がある。

　また、UWP版はブラウザ拡張とは連携できない。UWP版はWindows 10 Moibleでも動作し、その場合、内蔵ブラウザを使うと、コピー&ペーストに頼らずとも、エントリーから内蔵ブラウザを開いて、パスワードの自動入力ができるらしいのだが、デスクトップ環境では内蔵ブラウザが機能しなかった。

　と言うことで、生体認証とブラウザでの自動入力のどちらも使いたいので、デスクトップ版とUWP版を併用している。より正確にはブラウザ拡張とUWP版を併用し、デスクトップ版は初回インストール以降、基本的に起動しない。

　UWP版とデスクトップ版のそのほかの違いとしては、UWP版はウインドウが最小化された非アクティブになった時点で自動ロックされる。デスクトップ版は、最小化しても指定したアイドル時間が経過するまではロックされない。一方、クリップボードについては、UWP版は時間経過による自動消去機能はなく、アプリを終了した時点で消去される。

UWP版はWindows Helloによる生体認証に対応

セキュリティ周りの設定はデスクトップ版と若干異なる

スマートフォン版も指紋認証に対応

スマートフォン版も指紋認証に対応

　スマートフォン版については、Android版を試した。スマートフォン版も基本機能は同じ。そして、指紋認証機能に対応する点、エントリーが20個以上だと有料版が必要な点はUWP版と同じだ。プラットフォームごとの購入が必要なので、UWP版で有料版を購入していても、Android版は別途9.99ドルを支払う。検証はしていないが、iOS版も指紋認証に対応可能とされている。

エントリーが20個以上だと有償版を利用する必要がある

　やや神経質だなと思うのは、バックグラウンドになった時点でロックされる点。そのため、アカウントをコピーし、別のアプリに貼り付け、Enpassに戻ってパスワードをコピーしようとすると、アンロックする必要がある。指紋認証対応スマートフォンでないと面倒だと感じるだろう。

　ただし、Android版には、この手順を簡略化できるEnpassキーボードが搭載されている。たとえばブラウザでログインが必要なページを開いた場合、いったんEnpassキーボードに切り替える。Enpassキーボード上部には「タップして入力する」が表示されている。これをタップし、パスワードか指紋でEnpassデータベースをアンロックすると、サイトのURLとエントリーに登録したURLが合致する場合は、そのエントリーが表示される。エントリーをタップすると、アカウント、パスワードがブラウザに自動入力される。

　自動入力がうまくいかない場合、「タップして入力する」の欄に「UserName」、「Password」などが表示されているので、タップすると、入力エリアにその内容がペーストされる。URLと合致するエントリーがない場合も、Enpassで検索を行ない、エントリーを呼び出せる。

Enpassキーボード

タップして入力するをタップし、エントリーを呼び出すと、アカウントやパスワードを簡単に貼り付けられる

　あるいは、エントリーにURLを登録してある場合、Enpassから内蔵ブラウザを起動し、アカウントを自動入力してそのサイトにログオンすることもできる。これにより、何度もEnpassとブラウザを行き来しないでも、アカウント情報を簡単にペーストできる。

エントリーにURLを登録してある場合

リンクを内蔵ブラウザで開いて、自動入力ができる

　ただし、Android版Enpassは、内蔵ブラウザのURL欄の表示がずれてメニューが呼び出せなくなる、ログアウトまでの時間が経過したあとEnpassキーボードを再表示させないと動かなくなることがあるといった問題があった。これらの点は改善を望みたい。また、キーボードが英語仕様なので、エントリー検索のとき、エントリーが日本語のみだと検索できない。おそらくこの対応は無理だろうから、筆者は「インプレス impress」のように日本語のエントリーに対し、英語も併記することで対応した。

　なお、Android版は、UWP版と違いデスクトップ版と同じクリップボードの自動消去がある。また、セキュリティを考慮し、アプリのスクリーンショットは撮影できないようになっている。

Enpass起動中はスクリーンショットを撮影できない

生体認証を利用して、デバイスをより便利に活用しよう

　Windowsしかり、Androidしかり、iOSしかり、OS/プラットフォームが標準で生体認証をサポートするようになってきた。これにより、それを利用するアプリも増えてきている。WindowsアプリでWindows Helloに対応するものはまだ数が少ないようだが、スマートフォン向けパスワード管理ソフトでは生体認証に対応するものがいくつも存在している。また、今後はFIDO準拠で生体認証ログインが可能なWebサイト/サービスも増えていく。日本でもYahoo! Japanやdwangoが対応を表明している。

　セキュリティと利便性は通常、相反する概念だが、生体認証を使うことで、うまく両立できる。今後のデバイス選びに当たっては、そういう点も加味するといいだろう。

　あるいは、マウスコンピューターからはWindows Helloに対応する外付けのWebカメラと指紋センサーが発売されている(マウス、1秒以内にWindowsログオンできるUSB顔認証カメラと指紋認証リーダ参照)。デスクトップPCなどでもこれらを使うことで、生体認証機能を付加できる。

　Enpassはモバイル版は有償だが、買い切りであり、9.99ドルの価値は十分ある。デスクトップ版は完全無料なので、まずそちらから試用して、気に入ったらモバイル版も併用するのがお勧めだ。