~攻撃は最大の防御なり~正解のない対策を斜めから斬る

パスワードの問題が多くあるのに、なぜ変えないのですか?

»

パスワードのリセット問題や漏えい事件が多くなってきました。いまさら?パスワードの見直し?・・・意外と整理できていなかったり、ブラウザに記憶させたまま使っていたり、懸賞などの一時使用のつもりで作ったパスワードに「重要」なブレーズが入っていたり・・・棚卸ししてみる必要があります。

自分のパスワードを棚卸ししてみた

4月にはちょうど、「メールのID、パスワードの使い回しを突いた不正アクセス事件」が頻発していた(関連記事1関連記事2関連記事3)。その詳細を見ると、ほかから取得したIDとパスワードのセットを、別のサイトで使ってログインしているということらしい。

 いくつかあるサービスで、筆者も同一のIDとパスワードを使っている可能性があった。自分のことなのに「可能性があった」と書いたのは、記憶があやふやになっていいたということ。もしかするとここにリスクが潜んでいるかもしれない。

漏えいしたパスワードが紐付けされる事件がありました。狙われた「使い回しアカウント」 以前であれば、紐付けなんて考えもしなかったことですが、単純に考えれば「あり」なのですね。というよりも、そんなに多くのパスワードを管理出来ないし、覚えられない弱点を突いてくれば簡単なのでしょう。結果が表しています。

例えば、今すぐに「英数記号が含まれる8文字以上」のパスワードを作って下さい!と言われても、すぐに作れる人がどれほどいるでしょうか? パスワード管理ツール等を使っていれば簡単ですし、覚える必要もありません。管理ツールのパスワードだけで、その先は必要もないでしょう。ただ、実際に管理ツールを使いこなしているユーザーがどれほどいるのか?って話です。

セキュリティのセミナー等でも、理想のパスワードは言われるのですが、実際の作り方について「ほとんど」聞いたことがありません。過去ブログでも何度も書いています。

グーグル提唱のネット利用11カ条にパスワードのお約束が4つ!作り方講座

パスワードの理想論を言われても、実務では役に立たないから、作り方を知るべし!(情報セキュリティ標語:パスワード編)

パスワードは英文字記号で8文字以上!って、だ・か・ら・・・どうすればいいの?

パスワードの在り方を説かれても、実際には役に立ちません。例えば、運転免許を持っているならば、事故の時の対応方法や、人命救助的なことを多少なりとも知っているはずです。もちろん「事故をおこさない」在り方も重要です。自動車の車輪や鳥の両翼と同じく、一方だけでは成り立ちません。

 

■ 作り方のネタ

1.聞こえた音、感じた色を文字に変える

犬の鳴き声も、犬種や大きさによって違いがあります。強く吠える場合と、甘えるような鳴き声も違います。自分で聞こえたものを、そのまま文字に変えてしまえば良いのです。

色についても、人それぞれに見え方が違うものです。黒でも「光沢のある黒」「マットな感じの黒」「深みのある黒」・・・と、色に形容を付けることで、おおくの表現方法が生まれます。

2.好きな歌のフレーズ

そのフレーズの一部分だけを使います。誰もが知ってる「仰げば尊し」ならば、aogbtots・・・とか、かな文字ならば36:@f@s6sd・・・となるはずです。一部のノートPCだと文字の配列が若干違うかも知れませんが、ほとんど大丈夫なはずです。フレーズを忘れることはないので、その部分的なところを摘まんでみます。

3.座右の銘

バカボンパパの「これでいいのだ!」という言葉であれば、krdiind!になります。数字が必要ならば、bybb88のようなものを加えます。歌のフレーズと変わりません。元ネタが違うだけなので、いくらでも応用は効くはずです。パパを88にしたように、似ている文字をあてるのも有効です。こんなのも使えます

 

■ キーボードの「かな文字」と「アルファベット」を混ぜる

上記法則を使いながら、かな文字とアルファベットを混ぜることで、気にしなくとも「英数記号」が含まれやすくなります。もしも足りなければ、=とか+などで繋いでみます。

1.アクセントになりそうな場所で「Shift」キーを混ぜるて大文字に

2.かな文字の場合に「濁点を省く」ことも有効

3.英単語でも、何語でもいいのですが、試験じゃないので「スペル間違い」は、パスワード辞書にも載ってないのでオススメです。

最後にマイクロソフトのパスワードチェッカーで強度を確認してみます。

また、ドットパスワードは、こちらを参照下さい。5点と4本の線で作る「Androidの指パスワード」強化法

家の鍵を同じはずなパスワードが、雑に使われているので、棚卸し&再設定の機会にしてみませんか?

Comment(2)

コメント

ardbeg32

パスワードを考えるのが難しいから変えないのではなく、そこまでして守らなければならない情報があるとは考えてないからではないかと、日々エンドユーザーに啓蒙していて思う次第です。
文書管理規程とか作ってる会社ならともかく、個人情報保護をうたっている一方で個人情報とは何?が全然わかっていなかったり従業員の情報は個人情報じゃないとか、電話番号には目くじら立てるのに会社の経営情報は平文でメールで送ったり・・・
何が大事で、何が大事でなくて、これが漏れたらまずいよね、という基準がないかよくわかってない・・・
だからパスワードどころか未だにUSBメモリやモバイル機器をバンバン無くすのではないかと思う次第です。大事と思ってないから守ろうという意識がないのではと。

後はド田舎のお家があまり家や車に鍵をかけないのと同じで、そこまでしなくても誰も盗むような人はいないよと他人事に感じている気もします。

ardbeg32さん、コメント有り難うございます。

>後はド田舎のお家があまり家や車に鍵をかけないのと同じで、そこまでしなくても誰も盗むような人はいないよと他人事に感じている気もします。

1つ目に、会社PC等の「自分のでない」ものに含まれている情報が「どれほど」のものなのか?解ってないのが原因と思っています。別に保護するほどのものはないし・・・な感じになっています。

2つ目に、自分のスマホやPCでも、保護するものが含まれているのに、1つ目と変わらずに使っています。いちいちパスワードを使ったりするのが面倒だから、ノーパスだったり、ぞろ目だったりするのですが、無くしたときには「真っ青」になります。

結局「水と空気と安全はタダ」の神話が未だに残っているのだと思います。
パスワード保護もしてないのに、プライバシーが・・・とか言っている、完全な平和ボケがあるので、痛い経験をしないとダメなのですかね?

コメントを投稿する