オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

セキュリティはパスワードだけ!と言い放ちたいので、十二支ご本尊に守ってもらう方法を伝授

»

今月、2018年8月はJPCERT/CCSTOP! パスワード使い回し!キャンペーン2018を実施しています。セキュリティはパスワードだけ!ではありませんが、最近目につくのが、文字のパスワードはもう終わりとか、定期変更はむしろしない方がいいとかとか。。。で、どうするのかと言えば、パスワード管理ツールで!みたいな結論だけ。

もちろんパスワード管理ツールもの凄くいいですよ!絶対に覚えられない数のパスワード管理出来るし、入力もしたくないほどいろいろ混ざったパスワードもクリック一発で生成してくれるし、気に入らなければチェンジ無料だし。入力時もわざわざコピペしなくても、ツールにそういう機能があるし。。。これ以上ないほどの便利ツールで無料のものもたくさんある。

でもね、パスワード管理ツールって誰にでも万能ですか?

これ誰に向けた話なのか?によって随分変わります。サーバー管理者や情シスな方々ならば言うまでもなく使っているはずだし、ある一定レベルのセキュリティ意識やスキルを持っている方々も同じく利用済み。

ただ、こういうセキュリティの高い方々は全社員の何パーセントでしょうか?1桁?10%はいないと思います。特定を対象とすれば数値も上がるでしょうが、ほぼ少数派です。ほとんどの方々90%以上とか、パスワード管理ツールを使ってない(使えないとか、使わない)などが現実です。

管理ツールで出来る方ならば、ここまでで充分です。このさき必要ありませんw

十二支ご本尊とは

生まれ年の十二支ごとにご縁のある仏さまがおられ、守ってくれるというものです。

諸菩薩、如来、王のご真言はこちらを参考にされて下さい(平等寺のサイト

私の場合、酉年なので不動明王とご縁があります。護摩で有名ですし、白・黒・赤・青・黄の五色不動が東京各所にあります。

真言ですが、

うまくさんまんだ、ざら、ん、んだ、かろしゃだ、わたや、んたらた、んまん

これは日本語ではないので文字の意味が何ともわかりません。語源はサンスクリット語で音だけこうなったようです。

宗派によって言い方も若干異なりますので、ご自身でネットや動画で音を聞き、しっくりくるものを選ばれることがいいと思います。

例として不動明王の場合ならば、 

 1.numksnmnd-b-d-s-m-s-u-kのような使い方や、n-b-d-s-m-s-u-kなど

 2.繋ぎにハイフンを使ってしまったので、記号や数字(生年月日など)を代わりに入れてみる

 3.n1b9d6s9m-s-u-k- など、n-b-d-s-m-s-u-k+1969+FuDoみたいなかんじなど

組合せはいろいろありますし、ここでは文字から英文字に変えましたが、音で聞いたものを文字に変えても(むしろ語源から言えば正しい)OKです。間違っていても(そもそも何が間違いか?という話)何も問題ないです。ただ、自身で間違えると最強の開かないパスワードになってしまいますので、何度も練習して下さい。

 何となく、お守り的な感じになった(出来た)でしょうか?

どうせなら、御本尊の真言も覚えられるし、意味ない文字列よりは有り難い感じも(と思っていますがw)あるし、パスワードが守っているというセキュリティ啓発にもなるということで。
これならJPCERT/CC推奨のパスワード条件も楽々クリアーですね!

更にスマホで出来る二段階認証の活用

Google や Amazonなど、主要なWebサービスやメール、オンラインバンキングなど、ワンタイムパスワードの仕組みを提供しています。以前は(今でも)キーホルダーのようなトークン(数字が変わるやつ)もありますが、個人的にはほぼスマホで出来るようになりました。

これだと、絶対マズイ「12345」みたいなパスワードでも、それ以外にスマホから生成されるワンタイムパスワードと合わせて使わない限りログインできないので、かなりの強度になります。

ただ、スマホ無くしたとか、電池切れたなど、便利な二段階認証だけに頼っていると緊急時にどうにもならないので、バックアッププランとして文字パスワードやバックアップ用の長い数字(各サービスが提供してくるもの)などを用いるしかありません。

いろいろと混ぜて使うことと、ちょっと複雑な文字にすることで自身を守る事ですね。早速やってみましょう。

パスワード関連ブログ と、お盆ネタとして昨年書いた【般若心経】+【パスワード】の組合せは色々最強かもしれないも合わせてどうぞ。

Comment(1)