セキュリティ」タグアーカイブ

伏兵がいたとは!?パスワード管理の話

セキュアなパスコード(パスワード)の作成方法

にも書きましたが、パスワードの生成の仕方についてちょっとですがTipsをまとめています。

ただ、先日、日経新聞に、「ああやられた!どうしよう!」と個人的に感じた記事が出ていました。

危険!IDの使いまわし メールアドレス 複数使って対策(8/15)

これは、ひとことでいうと、メールアドレスをIDとして使い回していると非常にやばいことになる可能性がある、ということです。

特に、IDのみでなくパスワード(PW)も使いまわしている場合には、以下のリンクのように、複数のサイトから芋づる式に個人情報が抜かれたり、最悪なのは銀行口座等に容易にアクセスされる可能性があるということ。

個人ID盗難 芋づる式 パスワードの使い回し、被害招く 新たな手口、自衛が不可欠 :日本経済新聞(8/14)

パスワードの使い回し、被害招く――個人ID盗難、芋づる式(真相深層) | SECURITY SHOW(こっちは上記の前文が掲載されています)

さすがに銀行などは以前よりセキュリティの意識が隔世的に高くなっていますのでそれだけで実際に金銭的な被害にあうことはないのかも知れません。

しかし、SNS系、ストレージ系、メール系などのデータをアクセスされてしまい個人ビッグデータとして解析されたりすると、検索機能が充実していることが裏目に出て、例えば第二パスワードや取引専用パスコードのような重要な情報がそこから漏れてしまうかも知れません(サイト管理では通常ハッシュとして処理しており文字列がそのまま保存されることはあまり聞きませんが個人管理ならありえる)。

全サイトでPWを変えており暗号化したExcel(表計算)ファイルでそうした情報を管理運用している私にとっても、今回のことは伏兵でした。なので早速やり方を見直しました。この記事が背中を押してくれました。

危険なのはメールアドレスの使い回しだけではないのでは?

この記事では、同じメールアドレスを複数のサイトでIDとして使い回すことの危険性を報告していますが、果たしてそれだけでしょうか。メールアドレスの文字列の一部を他のアカウントのIDとして使っている方も居られるのではないでしょうか。

そうだとすると、ここ最近の「xxのサイトがハッキングされ個人情報が流出した。その数は数万(場合によっては数億)人分に上る」という記事とそれに対するサイトからの「ただちに顧客全員に通知してPWを変更してもらった。今のところ被害は報告されていない」というアナウンスが「それだけで本当に顧客にとってきちんとした対策になっているの?」というものに聞こえます

確かに、そのサイトでの被害はないけれども、それが元で他のサイトでの被害につながるのではないか、ということです。PWをどう作るかや、いつ変更するか等の管理は、サイト責任(どう保存するかサイト責任です)ではなくユーザ責任なので、恐らくあえてその危険性をアナウンスしないのでしょうね。

どこかのサイトからIDとPWが漏れたとき、もし複数の銀行でそれと全く同じIDとパスワードをつかっていたら非常に危険だということは、誰でもわかります。銀行等のサイトでは2重3重の防護の手を打っているので大事に至らないケースが大半と思いますが、ユーザとしてもやはり何か手をうっておくべきでしょうね。

記事にあるようにサイトの重要度で対策を使い分ける

やはりサイトの重要度にあわせてIDやPWを自分なりに管理することが求められそうです。IDをサイト別に変更するのが面倒なら少なくともPWは異なるものを用意すべきでしょう。方法は、

セキュアなパスコード(パスワード)の作成方法

にあるようなものでも結構ですし、上の記事の内容にあるように、マイクロソフトのExcel(表計算)ファイルにまとめておくという手もあります。

ここ最近マイクロソフトのExcel(表計算)ソフトと互換のあるものが出ており、非常に便利になっています。特に(iPhoneなどのiOS系ではなく)Android系端末ではDropboxのファイルでもExcel互換ファイルを使うことができます。読み取り暗号化したExcel互換ファイルの扱いも可能なので、出先で重要情報にアクセスすることもできます(個人的なことですが、実はこれが非常に有用で最近ではiOS系よりもAndroid系の端末を使うことが多くなりました)。

まとめ

IDやPWの使いまわしは極力しない。少なくとも重要サイトのIDやPWはそれぞれ異なったものにする。IDやPWの管理方法は、自分なりの法則を作る、または、Excel等で管理する、のがよいと思います。

やはり将来は生体認証等になるのでしょうかね。海外SFドラマなどではどう表現されているんでしょう。

関連記事

セキュアなパスコード(パスワード)の作成方法
これは脅威!?「消せない火」の次は「壊せない巨大HDD」のある世界
伏兵がいたとは!?パスワード管理の話
遺伝子にまでパッチが当てられる時代なんですね、現代は!
日本では既に情報提供が行われていると見るべきでしょうかね!?

お世話になったリンク

危険!IDの使いまわし メールアドレス 複数使って対策(8/15)
個人ID盗難 芋づる式 パスワードの使い回し、被害招く 新たな手口、自衛が不可欠 :日本経済新聞(8/14)
パスワードの使い回し、被害招く――個人ID盗難、芋づる式(真相深層) | SECURITY SHOW

以上です。

セキュアなパスコード(パスワード)の作成方法

[追記しました@20130805]

パスコード(パスワード)の作成方法として、

名前や誕生日など連想しやすい単語(辞書に出てくる単語を含む)は使わないように

とよく書かれています。

私が習った方法では生成されたものは「単語」にはなりえずほとんど乱数のようなパスワードになるため、連想はほぼ不可能だと思います。

日本語のページではあまり紹介されていないようなのですが紹介しておきます。

コツはひとことでいうと、

「フレーズを作って、その先頭文字や音などを抽出してパスワードを作る」

です。たとえば、

「あんたはちょっとみかけによらないにっぽんいちのくるくるすっとんパー」

のフレーズ(世代がばれますが)を使う場合、

あんたは[ a ]
ちょっと[ c ]
みかけに[ m ]
よらない[ y ]
にっぽん[ n ]
いちの[ 1 ]
くるくる[ c ]
すっとん[ s ]
パー[ 8 ]

として先頭文字等をとって、

acmyn1cs8

というパスワードにすれば、

辞書には載っていなく、

かつ無限に作成でき、

かつ覚えやすい、

かつ乱数

なので連想されにくいパスワードになります。

私が習ったときは、

this is the most difficult password to guess[ titmdptg ]

という例を使って教えていただきました。これはもう20年ほどまえのことなので、今ではもっとうまいやり方があるのか知れません。上の方法だと記号の使用や大文字小文字の区別がしずらいので。

別な視点で効果的なやり方が紹介されていますね

安全で覚えやすいパスワードを簡単に作る方法 | Lifeclip

ここには連想されにくいように自分だけがよく知っている単語を組み合わせることと、サイトごとに接頭語や接尾語を変える法則を作ること、が紹介されています。私自身も上に紹介したことのほかに接頭語や接尾語を変える法則のやり方を使っていました。確かにこれだとサイトごとにパスワードが変わるのでいいですね。

[追記:20130710]

フレーズからパスワードを作るには文法を無視せよという報告があったようです

『作り方 パスワードの 新しい セキュアな これが』――研究チームが発表

【コラム】
『作り方 パスワードの 新しい セキュアな これが』――研究チームが発表
文字数が多くとも、文法に沿っていれば解読が容易であることを実証
(2013年01月25日)

という報告があったようです。上記のリンクは今では切れているようでキャッシュしか参照できませんでしたが、

一般に、パスワードは長いもののほうがセキュアだと言われる。だがカーネギーメロン大学とマサチューセッツ工科大学(MIT)による最新研究で、単純に文字数が多いだけでは安全ではないことがわかった。
セキュアなパスワードを作るためには、文法の授業で習ったことを忘れる必要があるようだ。
両大学の研究チームによると、文法に沿ってパスフレーズ(複数の単語をつなげた形式のパスワード)を組み立てることで、ハッカーに解読の手がかりを与えることになるという。研究者たちはその仮説を実証してみせるアルゴリズムを開発した。
このアルゴリズムを用いて、研究チームが16文字以上のパスフレーズ1,434個のクラッキング(解読)を試みたところ、全体の10%を解読することができたという。発表では次のように結論づけられている。「パスワードの文字数、ワード数が多ければ安全だろうと考えるのは早計だ」。
一般に、文字数が多く、なおかつユーザーが覚えやすいパスワードにするために、何か短い文をベースにパスワードを考えることがある。
しかし、文法という「ルール」に沿うことによって語句の選択肢が狭まるため、単純に解読しやすくなる。言い換えれば「代名詞-動詞-形容詞-名詞」という文法に沿ったパスワードは、文法に沿っていない「名詞-動詞-形容詞」といったパスワードよりも弱いというわけだ。
研究チームでは、例えば「Hammered asinine requirements」という3単語の(文法に沿っていない)パスワードのほうが、「Th3r3 can only b3 #1!」という5単語のパスワードよりも推測しにくく解読に強いと記している。

英語に比べて日本語は文法が自由なのであまり問題ないようにも思いますが、どうなんでしょう。実際フレーズで検索をかけても、英文フレーズならヒットする頻度が結構高いけれど日本語フレーズだと少ないようです。もっとも検索対象になる情報量に英語と日本語で圧倒的な違いがあるのでしょうね。

[追記:20130805]

日経新聞の7/24夕刊に「パスワードにあたふた」という記事が出てました

中高年にとってパスワード管理というのはやっかいなものであるようですが、それは中高年に限らず誰にでも当てはまることでしょう。

乱数によるパスワードが一番安全であることは周知の事実です。でも若くても長い間正確に記憶するのは不可能ですしその労力や集中力は他の重要なことに使うべきです。

それに、人間の脳みそに記憶されているパスワードも絶対安全ではありません。催眠術や薬物を使った方法やソーシャルエンジニアリングの手法もあります。最近では脳波そのものをモニターする非常に安価なセンサが出ているそうですので、脳みそからパスワードが抜かれることも時間の問題とも考えられます。

パスワードにあたふた | タカセのニュース

8~16文字、大文字・数字交ぜて…パスワードにあたふた 「安全上必要」わかるけど… :日本経済新聞

日本語をローマ字にすればそれだけでパスワードとしてかなり稀なフレーズになります。それをwasabiをibasawにするように文字の並びを逆転させれば辞書的にも探せないでしょう。ただ、長いカタカナの文字列をみるようなイライラ感がつのりますが。

以上です