みなさんは、パスワードで困ったり悩んだりしていませんか?
例えば、
- そんなに沢山憶えられない
- どんなパスワードにしたらいいのか分からない
- 銀行のパスワードが盗まれないか心配だ
- 同じパスワードを使っちゃいけないの?
- パスワードって定期的に変えなきゃいけないの?
- パスワードが分からなくなって、困ったことがよくある
などなど....
このサイトでは、長年パスワードを研究してきた管理人が、みなさんのパスワードに関するお悩みの解決をお手伝いしていきます。
パスワード神話の最近のブログ記事
<パスワード神話>
パスワードは、3ヶ月に1度変更しなければならない!
ズバリ!変更しなくていいです!
最近は強制的に変更させられちゃうケースもありますが...
15年以上前、1995年より以前、インターネットで使われていたUNIXのパスワードは、8文字でした。しかも記号は使えず、英数(大文字小文字区別なし)の組合わせでした。
26文字+10文字=36文字種が、8文字ですから ざっくりでパスワードは2.8兆種 くらいでしょうか。とてつもなく沢山の組み合わせで、とうてい推測できそうもありませんが、先に説明した解読できない暗号のパスワードを読まれてしまうと、話が変わるわけです。
コンピュータは、計算だけならとても速いですから、パスワードを推測するのではなく、a,aa,ab,ac......と全ての組み合わせを順番に作ってみて、これを暗号化し盗み出した暗号と一致するかをテストしていきます。これをブルートフォースアタックという言います。当時のコンピュータでも、1秒間に20万回くらい計算ができたと仮定すると、6ヶ月程度で、どんなパスワードでもバレてしまうことになります。
そして、このような計算を元に、完全にバレる前にパスワードは変えるべき!という訳のわからないパスワード神話が生まれたのです。
現在は、大文字、小文字、数字、記号など、文字種が増え、さらに長いパスワードが使えるようになったので、しっかりしたパスワードを使っていれば、パスワードの定期的な変更は必要ありません。
<パスワード神話>
パスワードは長い方がいい!
はい、覚えられて実用的な範囲であれば、長い方が確実に強いです。
技術的な説明は省略しますが、できれば15文字以上のパスワードを使うといいでしょう。
その場合、例えばいつもの8文字パスワード+12345678等の簡単な長さの延長方法でも、効果がありますよ。
管理人はすでにパスワード管理の限界にきています。
- 自分で何個のパスワードを持っているのか?
- どこのサイトにユーザー登録したのか?
- どんなIDだったか?
- どんなパスワードだったか?
- ...
みなさんはそんなことはありませんか?
恥ずかしい話ですが、作ったばかりのこのブログのパスワードでさえ、わからなくなってしまいます;
どうしてこんなパスワード地獄になってしまうのでしょうか?
原因はひとつではないですが、考えてみましょう。
<パスワード地獄になる理由>
- パスワードを登録するところが多すぎる(ひとり20個以上か...)
- 登録する会員ページやサービスごとに違うパスワードをつけなければいけない
- パスワードはメモしてはいけない
- サービスごとにパスワードのルールが違う
- サービスごとに使える文字が違う
- 長い間使わないものを忘れてしまう
- 数ヶ月で強制的に変更させられて、わからなくなる
- そもそも記憶力が悪い
<パスワード神話>
パスワードは、同じものを使いまわしてはいけない!
う~~~ん、確かにサービス毎に違うものを使った方がいいということは分かりますが、100個以上のパスワードですよ。このルールを決めた人、やって見せて欲しいです。
この点について、管理人が推奨するのは
- 全く違うパスワードにしなくてもいいが、1文字でいいから変える
ただし、銀行など重要なパスワードは、しっかりと変える。 - どうでもいいサービス、例えば一時的なメーリングリストや閲覧制限のページなどでは、共通の捨てパスワードを使ってしまう。
こうすることによって、かなりパスワード管理の負担が減ります。
とは言っても、新たに登録していくパスワードが増える数も半端じゃなくなってますから、どこまで耐えられるかわわかりませんが。
上手なパスワードの作り方については、あとで紹介します。
<パスワード神話>
パスワードはメモしてはいけない
とんでもありません!
もはや、パスワードはメモしなくてはいけません!
管理人がこんなことを言ったというと、また、教科書通りのどこかのセキュリティ専門家と称するお方に怒られるかもしれませんが、ハッキリいってメモしないのは無理です。
ただし、日経パソコン2010.4.12号の取材でもお答えしましたが、自分なりの「安全にメモする」方法を編み出すことがポイントになります。
安全なメモの方法については、具体的に紹介していきます。
<パスワード神話>
PCにパスワードを保存してはいけない
う~~ん、正直言って、これも、こんなにパスワードが多くては無理ではないでしょうか。
特に、個人のPCの場合は、他の人に利用されないことを前提で、ある程度パソコンに記憶させるのは、現実的だと思います。
そもそも、なんでこんな便利な機能を使ってはいけないと言うのでしょうか。
もともとパソコンにパスワードを保存してはいけないと言われる理由は
- 他の人(家族や友達)がパソコンを使ったときに、あなたのパスワードでサービスを使えてしまう。つまり、メールも読めるし、買い物もできてしまう。
子供が勝手にamazonで買い物をしてしまったという話も、よく聞きます。 - パソコンが盗まれたとき、どこかに忘れてきたとき、下取りに出したとき、修理に出したとき、などにあなたのパスワードが盗まれたり、サービスを利用されたりする。
- ウイルスなど、悪意のあるプログラムにパスワードを盗まれて、悪用される。
などです。
1.については、Windows98の頃の話です。最近のWindowsは、家族用に別々のユーザが作成できますから、皆がそれぞれ自分のユーザでログインして使うようにすればいいでしょう。また、どうしても他人に使わせる時は、やはり専用のユーザを作るなどするとよいでしょう。
2.そもそも、財布だってクレジットカードだって、盗まれれば悪用されますから、盗まれたり、忘れたりしないように。下取りに出すときには、中身を全部消去しましょう。
3.悪意のあるプログラム(ウイルスやスパイウエア)が入ってしまった場合、パスワードを記憶させていなくても、キーロガーや盗聴など、他の手段でパスワードが盗まれたり、個人情報が盗まれたりします。パソコンに、パスワードを記憶させないことにより、どれだけリスクが軽減するかは微妙です。まずは、ウイルス対策をしっかりと実施しましょう。
管理人の推奨は、情報を見るだけの(金銭の動かない)サービスのパスワードは、覚えきれないから、パソコンに覚えさせる。金銭の動くサービスは、そのつど、パスワードを入力する。そして、覚えさせているというこを意識して、安全にパソコンを使うことです。
新しいサービスに申し込んだり、会員登録する場合にパスワードを自分で設定するケースと、初期バスワードが送られてくるケースの2通りがあります。
プロバイダの回線やメールサービスなど、新規で申し込みでは、パスワード(ちょっと複雑なの)が、書類で送られてくることもあります。
さて、このパスワードは変えるべきでしょうか?
管理人の場合は、そのパスワードが、前回説明した金庫パスワードに相当するなら、一切変更せずに、にそのまま(金庫にw)保管してしまいます。
そうでなく、記憶するべきだったり、PCに憶えさせるものなら、それぞれに適したパスワードに変更して使います。
でも、社内システムでありがちな、初期パスワードはあなたの生年月日ですとか、社員番号ですとか、IDと同じですとか....こういう場合は必ず変えてくださいね。
パスワードの強さを調べるのに管理人がたびたび使っている「認術修業」ですが、この結果は信用できるのか?という疑問があります。
管理人の見解は、このソフト意外には具体的な指標になるものがないということです。
そもそも、パスワードの強さとは何でしょうか?
<パスワード神話>
強いパスワードとは、大文字、小文字、数字、記号を混ぜた8文字以上のパスワード。
これが、よく耳にする強いパスワードです。でも実際に強いパスワードという指標があるわけではありません。誰もそんなものを定義していません。
本当に欲しいのは、ハッカーに破られない(推測されない)パスワードです。
「認術修業」は、ハッカーが使うパスワード推測ツールとして、もっとも有名な「john the ripper」というツールに搭載されているパスワード推測アルゴリズムを逆解析してあり、入力したパスワードが、そのアルゴリズムで何番目に登場するかを正確に計算し、それにPCの計算時間を掛けて、パスワードがバレルまでの推定時間を算出しているそうです。
管理人にとって、これは画期的なことでした。
10年以上前の話ですが、当時、管理人が管理していたインターネット上のサーバのrootパスワード(もっとも重要なパスワード)を設定する時のことです。
絶対にハッキングされたくないので、パスワードを作る時は、パスワード神話で言われるように記号や数字を混ぜたパスワードにしていましたが、当時のパスワードは8文字までしか付けられませんでした。
果たして、このパスワードは本当に強いのか?
常にこんな不安があり、rootのパスワードを設定する際は、新しく設定するパスワードを、実際にjohn the ripperに掛けてみて、1~2週間でバレることがないことを確認し、その上で、本番サーバーで利用していました。そいうことで、この「認術修業」は管理人にとっては、まさに目から鱗のソフトだったわけです。
そう、本題にもどって、認術修業は信用できるのか?への回答ですが、管理人は、こんな意識でいます。
でも、具体的な、よりどころは、これ以外にはない!ので、これで調べているわけです。
個人で利用しているサイトの一部、銀行など、パスワード管理に厳しいサイトでは、一定期間(3ヶ月など)過ぎると、
「お客様のパスワードは3ヶ月間変更されています。パスワードを変更しましか?」
こんなメッセージが表示され、パスワードの変更を促されるケースがある。
管理人の場合は、前述のように強制で無い限り変更しない。理由は、(屁理屈もありますが)
- 自分のパスワードは強いから大丈夫と思ってる。
- 過去に変更してパスワードが分からなくなって困ったことが何回もある。
- パスワードを変更するという操作の方が、セキュリティ上の危険があるのでは
などなど。
でも、本音を言えば、2番目とめんどくさいとうところだ。
企業内のサーバでは、このパスワード期限の変更を強要するシステム、つまり期限を過ぎるとログインできなくなる仕組みを入れているケースも多いだが、この場合も、ユーザも管理者も悲鳴をあげているのが実用のようだ。
先日、管理人がある企業の取材をしたところ、この手の仕組みを入れたら、一日に100件近くのパスワードが分かりませんという問い合わせが入るようになってしまったとの話を聞いた。
管理者もユーザも不幸せなこんな仕組みに、本当にメリットがあるのだろうか?
おすすめのソフトウエア
