オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

パスワードの問題が多くあるのに、なぜ変えないのですか?

»

パスワードのリセット問題や漏えい事件が多くなってきました。いまさら?パスワードの見直し?・・・意外と整理できていなかったり、ブラウザに記憶させたまま使っていたり、懸賞などの一時使用のつもりで作ったパスワードに「重要」なブレーズが入っていたり・・・棚卸ししてみる必要があります。

自分のパスワードを棚卸ししてみた

4月にはちょうど、「メールのID、パスワードの使い回しを突いた不正アクセス事件」が頻発していた(関連記事1関連記事2関連記事3)。その詳細を見ると、ほかから取得したIDとパスワードのセットを、別のサイトで使ってログインしているということらしい。

 いくつかあるサービスで、筆者も同一のIDとパスワードを使っている可能性があった。自分のことなのに「可能性があった」と書いたのは、記憶があやふやになっていいたということ。もしかするとここにリスクが潜んでいるかもしれない。

漏えいしたパスワードが紐付けされる事件がありました。狙われた「使い回しアカウント」 以前であれば、紐付けなんて考えもしなかったことですが、単純に考えれば「あり」なのですね。というよりも、そんなに多くのパスワードを管理出来ないし、覚えられない弱点を突いてくれば簡単なのでしょう。結果が表しています。

例えば、今すぐに「英数記号が含まれる8文字以上」のパスワードを作って下さい!と言われても、すぐに作れる人がどれほどいるでしょうか? パスワード管理ツール等を使っていれば簡単ですし、覚える必要もありません。管理ツールのパスワードだけで、その先は必要もないでしょう。ただ、実際に管理ツールを使いこなしているユーザーがどれほどいるのか?って話です。

セキュリティのセミナー等でも、理想のパスワードは言われるのですが、実際の作り方について「ほとんど」聞いたことがありません。過去ブログでも何度も書いています。

グーグル提唱のネット利用11カ条にパスワードのお約束が4つ!作り方講座

パスワードの理想論を言われても、実務では役に立たないから、作り方を知るべし!(情報セキュリティ標語:パスワード編)

パスワードは英文字記号で8文字以上!って、だ・か・ら・・・どうすればいいの?

パスワードの在り方を説かれても、実際には役に立ちません。例えば、運転免許を持っているならば、事故の時の対応方法や、人命救助的なことを多少なりとも知っているはずです。もちろん「事故をおこさない」在り方も重要です。自動車の車輪や鳥の両翼と同じく、一方だけでは成り立ちません。

■ 作り方のネタ

1.聞こえた音、感じた色を文字に変える

犬の鳴き声も、犬種や大きさによって違いがあります。強く吠える場合と、甘えるような鳴き声も違います。自分で聞こえたものを、そのまま文字に変えてしまえば良いのです。

色についても、人それぞれに見え方が違うものです。黒でも「光沢のある黒」「マットな感じの黒」「深みのある黒」・・・と、色に形容を付けることで、おおくの表現方法が生まれます。

2.好きな歌のフレーズ

そのフレーズの一部分だけを使います。誰もが知ってる「仰げば尊し」ならば、aogbtots・・・とか、かな文字ならば36:@f@s6sd・・・となるはずです。一部のノートPCだと文字の配列が若干違うかも知れませんが、ほとんど大丈夫なはずです。フレーズを忘れることはないので、その部分的なところを摘まんでみます。

3.座右の銘

バカボンパパの「これでいいのだ!」という言葉であれば、krdiind!になります。数字が必要ならば、bybb88のようなものを加えます。歌のフレーズと変わりません。元ネタが違うだけなので、いくらでも応用は効くはずです。パパを88にしたように、似ている文字をあてるのも有効です。こんなのも使えます

■ キーボードの「かな文字」と「アルファベット」を混ぜる

上記法則を使いながら、かな文字とアルファベットを混ぜることで、気にしなくとも「英数記号」が含まれやすくなります。もしも足りなければ、=とか+などで繋いでみます。

1.アクセントになりそうな場所で「Shift」キーを混ぜるて大文字に

2.かな文字の場合に「濁点を省く」ことも有効

3.英単語でも、何語でもいいのですが、試験じゃないので「スペル間違い」は、パスワード辞書にも載ってないのでオススメです。

最後にマイクロソフトのパスワードチェッカーで強度を確認してみます。

また、ドットパスワードは、こちらを参照下さい。5点と4本の線で作る「Androidの指パスワード」強化法

家の鍵を同じはずなパスワードが、雑に使われているので、棚卸し&再設定の機会にしてみませんか?

Comment(2)