パスワード関連ソフトの最近のブログ記事

ここまで、パスワードの推測の話をしてきましたが、ここでちょっとコーヒーブレイク！

あなたのパスワードが何日で推測されてしまうかを調べてみましょう。

＜認術大会＞フリーソフト

http://www.vector.co.jp/soft/winnt/util/se386208.html

ベクターに行くと、認術大会というとっても面白いソフトウエア（無料）がダウンロードできます。このソフトは、yahooのトップページや、さまざまな雑誌で紹介されたこともある有名なソフトです。

ハッカーのパスワード推測アルゴリズムに基づいて、あなたのパスワードが何日で解析されてしまうかを診断してくれるゲーム感覚のソフトです。
とても面白いので、是非試してみてください。

安易なパスワードを試してみたら

０点、１２分と診断されてしまいました。

先日紹介した「認術大会」
http://www.vector.co.jp/soft/winnt/util/se386208.html

とても面白いソフトだと思いますが、すでに試された方は、不思議なことに気づいたでしょうか？

このソフトで計測されるパスワードの強さは、

パスワードを長くしても強くならない！

とうことです。なぜでしょうか。

説明文章には、次のように書かれています。

＜診断方式＞
認術大会では、Windowsで使われるLM認証というパスワードを基準に、パスワードの強度を判定しています。

実は、このWindowsのLM認証とうのは、Windows95やWindows98で使われていたパスワードの暗号方式のことで、これがとんでもなく弱い暗号方式になっているのです。

どう弱いかというと

1. 大文字と小文字を区別しない
2. パスワードの長さは７文字まで

このため、認術大会の判定アルゴリズムでは、パスワードの長さは８文字以上に増やしても、パスワードの強さが上がらないわけです。

認術大会では、ゲーム感覚でパスワードの強さ？弱さを体験できたと思いますが、いかんせん１０年以上前の古いパスワード強度です。もう少し正確なパスワードの強さを知りたいと思う方には、

認術修業という同じ系列のシェアウエア（有料）があります。

この認術修業では、UNIXや最近のWindowsのパスワード強度を判定できます。
また、作成したパスワードのどこを変えると、パスワードがどう強くなるかも調べることができるので、パスワードに興味がある人にはおすすめです。

下記のサイトからインストールすると、無料お試しができるようです。

認術修業のお試し

http://www.highclick.jp/soft2362.html

以前の記事で紹介した、パスワードの強さを計測できる「認術修業」というソフトには、面白い機能がついています。（単体でもあります）

＜認術　パスワード隠しの術＞

http://www.highclick.jp/soft2363.html

このソフトは、パスワードをパスワードの文字の森の中に隠すというとてもユニークなソフトです。どこに隠したかは、背景の画像を目印に、記憶するので、他人からみたら絶対に分かりませんが、本人にはすぐにわかり便利です。

管理人の場合は、サーバーの管理者パスワードなどを、この方法で印刷してカード入れにいれて持ち歩いています。なんで管理者パスワードなのかというと、

• 管理者パスワードは難しいものにしているので記憶できない。
• 滅多に使わないので、これも理由で記憶できない。
• トラブルなどで、突然必要になることがある。

個人的には、かなり行けてる面白いものだと思います。また携帯電話に画像ファイルとして、入れておくのも便利だと思います。試してみてはいかがでしょうか。

例として、３つのパスワードを安全にメモする方法を紹介しました。

さらに安全性を高めたいのであれば、これらを上手く組み合わせるという方法があります。

もちろん、あなたがあみ出した別の方法との組み合わせでも構いません。

ポイントは、単純で、本人が分からなくならない方法ということです。

そういう意味で、管理人のおすすめは、隠し味法とパスワード隠しの術の組み合わせです。パスワードの一部を隠し味として、あなたが記憶し、それ以外の部分を、パスワード隠しの術で、メモして持ち歩くという方法です。

ぜひ試してみてください。

http://www.highclick.jp/soft2363.html

新しいパスワードの作成ルールで出来上がったパスワード、これが弱々パスワードでは困ります。

だから強化をしなければなりません．．．．なんて、嘘です。

今回紹介したパスワード作成ルールには、パスワードをしっかり強くするルールが予め含まれていますから、そのまま使って大丈夫です。

さて、では「認術修業」を使って、完成したパスワードの強さを見てみましょう。

まず、完成したパスワードをフルで使えた場合です

パスワード：　%Fg4sonatsukutetamaran

十分な強さをもっているぞ。３９３年以上。８文字で制限されても４年と出ました。

右側の月のマークの「強化の術」をクリックすると、文字別のパスワード強度が表示されます。このグラフを見ると、【パート１】の部分が、とても強度を持っていることがわかります。【パート１】が強度を持つことで、パスワードが短い場合でも、ある程度の強さを確保できるのです。

あなたの独自ルールで作ったパスワードも、「認術修業」で調べてみると面白いでしょう。

パスワードの強さを調べるのに管理人がたびたび使っている「認術修業」ですが、この結果は信用できるのか？という疑問があります。

管理人の見解は、このソフト意外には具体的な指標になるものがないということです。

そもそも、パスワードの強さとは何でしょうか？

＜パスワード神話＞

強いパスワードとは、大文字、小文字、数字、記号を混ぜた８文字以上のパスワード。

これが、よく耳にする強いパスワードです。でも実際に強いパスワードという指標があるわけではありません。誰もそんなものを定義していません。

本当に欲しいのは、ハッカーに破られない（推測されない）パスワードです。

「認術修業」は、ハッカーが使うパスワード推測ツールとして、もっとも有名な「john the ripper」というツールに搭載されているパスワード推測アルゴリズムを逆解析してあり、入力したパスワードが、そのアルゴリズムで何番目に登場するかを正確に計算し、それにPCの計算時間を掛けて、パスワードがバレルまでの推定時間を算出しているそうです。

管理人にとって、これは画期的なことでした。
１０年以上前の話ですが、当時、管理人が管理していたインターネット上のサーバのrootパスワード（もっとも重要なパスワード）を設定する時のことです。
絶対にハッキングされたくないので、パスワードを作る時は、パスワード神話で言われるように記号や数字を混ぜたパスワードにしていましたが、当時のパスワードは８文字までしか付けられませんでした。

果たして、このパスワードは本当に強いのか？

常にこんな不安があり、rootのパスワードを設定する際は、新しく設定するパスワードを、実際にjohn the ripperに掛けてみて、１～２週間でバレることがないことを確認し、その上で、本番サーバーで利用していました。そいうことで、この「認術修業」は管理人にとっては、まさに目から鱗のソフトだったわけです。

そう、本題にもどって、認術修業は信用できるのか？への回答ですが、管理人は、こんな意識でいます。

• 認術修業に掛けて、すぐに解けてしまうパスワードは、本当にすぐに推測されてしまう。
• 認術修業で強いパスワードも、他の方法ですぐに推測される可能性はある。

でも、具体的な、よりどころは、これ以外にはない！ので、これで調べているわけです。

あなたのパスワード生成ルールが完成してみたら、認術修業で、その強さを計ってみましょう。

とは、言っても認術修業は有料（２０００円）のソフトウエアです。管理人のようなパスワードオタクなら別ですが、一般の人には、もったいないかもしれません。

こちらのサイトに行くと、認術修業２０１０というのが、１週間無料でお試しできますから、パスワード生成ルールが完成したら、その無料版で試してみるのがいいと思います。

裏情報ですが、学校関連には無償で提供されているらしく、先生が頼むとライセンスをすぐくれるらしいです。詳しくはセキュリティフライデー社さんに聞いてみてください。

自分独自のパスワード生成ルールで、新しいパスワードを作り、認術修業で遊んでいると、ふと気になることがあります。

パスワードの長さを１４文字以下にすると、急にWindowsのパスワードが弱くなるということです。

以前に生成した、パーソナルセキュリティ研究所のパスワード　%Fg4sonatsukutetamaran

これを１５文字にすると、%Fg4sonatsukuteとなり、Windowsの強度は、３９３年以上。

１４文字　%Fg4sonatsukutは、なんと１０日間。

これじゃ、Windowsで使えないじゃん！となってしまいます。

実は、これは、Windows独特の互換性によるパスワードの弱さなんです。もともと、Windowsは９５，９８系とNT、２０００系の２種類があり、９５、９８系のパスワードがとても弱いものでした。どう弱かったというと

1. ７文字
2. 大文字小文字の区別がない

考えただけで弱そうでしょ？
NTや２０００は、ちゃんと長いパスワードで、大文字小文字の区別もあったのですが、ここで互換性の問題があり、NT、２０００系は、なんとパスワードを９５，９８系と同じものも記録してしまいます。

１４文字のパスワードは、７文字＋７文字、大文字小文字の区別なしという形で暗号化します。これにより１４文字以下のパスワードは極端に弱くなるのです。

これを１５文字以上にすると、この互換性部分を記録しなくなるという仕様になっているので、完全な１５文字のパスワードとして記録され、強くなるのです。

Windowsのパスワードは１５文字以上にする

これが強さの秘訣です。

Windowsのパスワードの強さは、サーバーに接続しない自宅PCなどでは、あまり気にしなくていいと思いますが、１５文字付けてれば完璧！

「認術　パスワード隠しの術」というソフトは管理人は、とても面白いと思う。

「木を隠すに森に」ということわざ？があるようだが、まったくもって、その通りで、パスワードを隠すなら文字の森の中に隠せば、どれがパスワードか分からないというわけだ。

管理人が、このパスワード隠しが面白いと思う理由は、もうひとつある。昨今パスワードが憶えられないという問題から、いろいろなパスワード管理ツールが登場してきているが、いずれもパソコンに憶えさせて、自動で入力させたり、便利に使うというもの。これに対して、パスワード隠しの術は、自動化などはせずに、多少不便ではあるが、人が安全に使うというもの。この点がとてもおもしろい。
ＩＴ時代だからこそ、パソコンを使わない記録方法や自動化しないところが、とてもお気に入りなのです。

次回は、パスワード隠しの術の使い方を簡単に説明します。