ITリテラシとパスワード管理の話
パスワードを忘れたからアカウントを捨ててる人も多いと思う
スマホを変えるたびにアカウントを作ってる人も多いと思う
私からは信じられないが、、、
こんにちわ、文句ばかりのワイティです
今日はパスワード管理の話したいと思う
みんなスマホとパソコン時代でパスワードの管理は難しい
パソコンリテラシの中で一番を誇る難しさだと思う
一昔前にサンフランシスコの会社は
機器を発売するときに初期パスワードを同じものを使っていけない
機器別に設定しておくことの法律ができニュースになっていた
日本もその法律を導入するべきだ
昔のアンドロイドはパスワードを
平文保存してたバグが最近見つかったとかあったよネ
簡単なパスワードと初期のパスワードの端末がmiraiウイルスによって
世界に震撼を与えたのもまだまだ最近の話だ
一昔前にパスワード管理が一つか二つだった時代
パソコンへのログインパスワードは
毎月を変えるのが常識などは企業内で本当にあった話
そんな頻繁に変えたら忘れるだけ
管理者の仕事が増えるだけ意味ない
いつものパスワードに語尾だけ変えるだけ、追加していくだけになってしまう
それも枯渇して忘れていく、もしくは推測されやすさは変わらない
appleの1年以内に使ったパスワード設定不可あれどうにかしてくれないかな?
リテラシの高い人の代表として
自分でSDKやAPIを組み込んでラズパイでコーディングするにしても
ポート開放してサーバー立ててVPN開通したり
全てはアカウントとパスワードの管理に掛かっていて
パスワードを忘れてしまってはメンテ出来できない
パスワードと機器設定は切っても切り離せない重い話なのだ
とりあえずレベル1から話してみる
※ダメパスワードの例
1、簡単なパスワードはダメ
一番ダメなのが「000」「1234」「asdf」「qwer」
「012345678」「qwertyui」「asdfghjk」文字数増やしてもダメ
「password」「admin」馬鹿パスワードの代表です
2、全てのSNSが同じであるパスワード流用
流用問題は後で記述
3、自分の誕生日や住所や車番などの番号
自分に関連する誕生日とか車の番号とかも良くないは誰でも知っている
この誕生日が曲者でSNSで入力を求められるのに
セキュリティの時やパスワード再発行の時にも求めてくる
周知の事実をセキィリティ解除に求めてくるなって話だよ
4、メモ書きして壁やパソコンに張り付けるのもダメ
目につく第三者がいないなら良いが 家族や身近な人が敵なのは多い
信頼のおける友人とか親族だろうとアカウントとパスワードを共有するのは良くない
パスワードは漏洩するものそしてリスクとメンテを最小にするにも
※パスワードのコツ
忘れるパスワードより簡単なパスワードの方がマシです
「kirindaisuki2019」とかすごくパスワード能力高いです
英語じゃない言葉が良い
英語の「happycat1999」などは逆に弱い
英語の辞書にあるのは弱い
パスワード管理ソフトのアプリで生成される
謎の記号文字を含む羅列は結構悪害です
キーボードで打てない場合もあるくらい
色々あるSNSなどの現在のパスワードの種類には
4桁数字、6文字英数字、8文字大文字小文字含む英数時、8文字以上
とかなり複雑で一つのパスワードでは管理できないのは皆さんも同じのはず
殆どの人が自分の好きな言葉にしているだろう
それらを簡単な組み合わせにして辞書保存しておくと良い
アルファベット+数字で充分8桁くらいで充分
1、パスワードの流用を避ける
パスワードは同じものを使いたい傾向は初心者にありがち
ワンパスワードなどのアプリに頼りましょうと言うのもありがちですが
端末が変わればアプリが使えないことも多々ある
例えばFirestickTVでワンパスワードが使えますか?って話
アプリの誤操作でアプリからパスワードが消えることも多々ある
端末が壊れアプリのパスワードを忘れることも考えられる
企業側から漏洩して違うアカウントを乗っ取られるなんて頻繁に聞く話
例えばdropboxで漏洩してフェイスブックを乗っ取られたなんてが実際の事件
この漏洩は詳しい人がネットを検索すれば出てくるので
そんな漏洩検索アプリなどもあるくらいなので漏洩した情報を
知人が持っていることもありえる
知人との連絡用とアカウント管理用のメアドは分けたい
特にYoutuberやブロガーは敵も多いので専用アカウントではじめよう
結局メアドも増えるので自分のアカウント辞書を暗号化して持っておくのが一番良い
私もスマホもwindowsもブラウザにパスワードを保存しているが
誰かに使われないように本体のログインには必ずパスワードを求めるようにしている
ブラウザ保存はワンパスワードと同じ漏洩リスクがあるが
ある程度漏洩はしかたないとも思ってる
違うメールアドレスなら全て同じパスワードでもいい
メールアドレスとパスワードの組み合わせが一致するものが無いなら良い
あとひとつのメールアドレスに集中させない
私はgmail、yahoo、hotmailそれぞれ2種類づつ6個くらい持っています
同じじゃなければ大丈夫
でもSNSは沢山あるし違うパスワード覚えられないとなるとどうするか?
2、自分のアカウント辞書を作る事
パスワード管理アプリは沢山ある
「1password」信者はそれを使ったらいい
「lastpassword」信者もそれでいい
私はこれらが信頼あるとは思っていない
私はパスワード管理ソフトはそのうち漏洩すると思ってる
漏洩したデータは全てまとめて解読されると思ってる
みんな使ってる技術じゃなく、葉を隠すなら森理論
文字を隠すならメモ帳、セキュリティキーを隠すなら己の中
そう「自分辞書キー暗号」が最高だと思う
暗号で最強なのは「秘密辞書暗号」
公開キー暗号はパソコンには難しいとされているが解けなくはない
自分だけが知っている言葉で暗号化して平文で保存しておくメモ帳
これが最強
TKと言えばだれですか?
俺なら小室哲哉だろ
私なら木村拓哉だろみたいな
加藤茶でもいいんだけど
そんな自分の常識辞書を使う
パスワード忘れたときに聞かれる秘密の質問あるじゃない?
あれを発展させたものだと思えばいい
単語と数字の組み合わせを3種類以上組み合わせ
それをメーカー名とアカウント名、暗号化したパスワードでメモ帳にでも保存する
例えば木村拓哉が好きなら
kimura、takuya、kimutaku、1972、1113など
この三つの組み合わせでも良い
それを自分なりに暗号化しメモ帳に保存する
メモに保存する内容の例として
「rakuten(私のgmail)年TK苗字月日」
「amazon(買い物@YAHOO)ニックネーム年月日」
こんな感じ
rakutenに登録しているのは
私のgmail.comで
パスワードは「1972kimura1113」
amzonならYahooの買い物メアド
「kimutaku19721113」
となるんだなと思いだしやすい
メモ長には
amazon aアド kパス
でもいい
aで始まるアドレスで
kで始まるパスワードはあれしかないなとか
こんな感じ
これで他人が解けたらすごいと思う
じいちゃんの名前とか初恋の人の名前とか良いと思う
自分の「常識辞書」と「関連付けメモ帳」
で構成しているので忘れにくい
これが自分の名前だったり生年月日だったりすると
推測されやすいパスワードになり基本的にだめなので
自分しか知らない好きなものにしておくのが良い
同じじゃなければいいので
kimura takuya 1972 1113 だけで
kimura1972
1972kimura
kimura1113
1113kimura
takuya1972
1972takuya
takuya1113
1113takuya
これだけで8個も作れる
KKさんで構成したらさらに8個作れる
キーロガーが来てもその端末しか漏洩しないので比較的安心
一個漏洩しても自分がキムタク由来のパスワードにしてる事を
におわさなければ流用されることも、誰にもわからない
「果物小4故郷会社AV」
好きな果物、嫌いな果物
小4の年号、西暦
母親の故郷、おやじの故郷
おやじの会社、好きな会社
好きなAV女優、好きなオーディオメーカー
何とでも考えられるし
メアドを知っていてさらに自分の中にある辞書じゃないと
暗号は解けない
アナログ最高だと思う
これは3つだが4つ、5つと組み合わせれば
何倍もセキュリティはあがるのでオススメである
本当の辞書にありそうな言葉kimura、takuyaなどは3つ以上組み合わせたい
辞書に無さそうなkimupon、takuyanなど使えばさらにセキュリティは高い
合計8文字以上はほぼ解読不能なので安心して良いです
それを突破されるなら認証サーバーに問題があるので
それを言い出したらキリがないので簡単なのでいいでしょう
1passwordなどで出力される
文字の羅列を進める人もいますが、覚えられないのはマジで悪害
入力しずらいっちゃありゃしない
パスワードのメモ帳はクラウド保存せず
スマホやPCのローカル保存するのが良い
クラウド保存したら漏洩した場合
どんなにセキュリティ高くても誰かに解読される確率があがる
しかもワンパスワードとかの漏洩になると
解読班などが現れてマジで漏洩が怖い
※パスワードのバックアップ
私はかれこれ20年位
ガラケー時代のローカルメモ帳+自分辞書で管理している
iPhoneもパスワード覚えてくれるが
PC側のiCloudの操作ミスって全部消えた苦い思い出もある
PCに保存していたメモ帳もあるが
手元にないと不便使えない
スマホが壊れたら怖いので年に一回印刷して
自分の引き出しにでも鍵かけて保存しておくのをお勧めする
あえて紙でパスワードを管理する「パスワードブック」がおすすめな3つの理由 | フムフムハック
身内に暗号と解ける奴なんているわけないのだから
パスワード圧縮してクラウド保存するでもまあまぁ大丈夫だと思うけど
なぜならそのなかに有効なパスワードがあるともわからないし
個人のどうでもいいファイルを解読班が現れて複合するとも思えない
有名人じゃなければまず安心して良いだろう
あなたが有名人ならアカウント情報に本名と芸名を使わないようにしよう
そのメモのタイトルに
「アカウント管理」だ「パスワード管理」だなんて
「秘密の鍵」とかも名前を付けたら他人からモロばれになり
解読班の餌食になる
「私のメモ帳」くらいにとどめて欲しい
タイトルに「新規メモ帳」などもオススメである
スマホが乗っ取られたときに漏洩しても空気のような
忘れない気にならない名称にしたいものである
特に銀行や買い物アカウントとSNS、IOTパスワードは似たようなものを避ける
銀行や買い物はセキュリティが高いので比較的漏洩は少ないように思えるが
SNSとIOTの漏洩はひどいほど毎月問題視されているので
IOTの場合漏洩しても問題にならないから問題も変わってくる
パスワードの解除方法として辞書アタックがあるが
これはIOTではハッキングされやすいので気を付けたい
こうやって私はスマホのメモ帳には100近いアカウントとパスワードを保存し
そのメモ帳を開くのにパスワードを設定して
スマホを開くのにもパスワードを設定して
パスワードを忘れないように管理している
正直見ずらいけどセキュリティを上げることは少しの不便さは必要だと思う
結局のところパスワードは企業側から漏洩する確率の方が高いと思っているので
企業側100社漏洩率20%で自分のパスワードは1/5漏洩の可能性があるのかな
ユーザーは1000万人いるとして漏洩率100%だけど自分は1/1000万人
便利なものに2段回認証がある
2段回認証とは
メールに時限パスワードを発行するもの
スマホ電話番号SMSに時限パスワードを発行するもの
アプリで時限パスワードを表示するもの(googleやフェイスブック)
別端末に時限パスワードを表示するもの(銀行系)
最初に通常パスワードでログインし
2段回認証画面に時限パスワードを入力すると言う物
様々あるので初心者には仕組みすら煩わしいが
覚えてしまえば楽に対応できるものである
2段回認証あれば
1段階目のパスワードは共通の物でも良いかと思ってる
kimu1172とか
それだけではログインされないし
見覚えが無い通知が来たらパスワードは見直そう
漏洩しても2段回認証なのでメールのパスワードが漏洩しない限りは
そのアカウントののっとりは不可能だ
簡単なパスワードがメンテを捗らせるので
2段回認証があるものは率先して導入していきたい
IOTはアカウントとパスワードが漏洩するものとして導入したい
アカウントパスワードは決めておいた方が良い
なのでIOTアカウントは専用につくるのがお勧めかな
しかしIOTには2段回認証が無いものが多い
しかしSNS認証なるものが多いので
googleアカウント、フェイスブックアカウントなどは2段回認証を使い
IOTと結び付けるのがメンテを楽にすると思う
※本当はSNSと結び付けるのは正直お勧めしませんが
IOTのログインの煩雑さから仕方ないと思っています
お勧めしない理由
SNSはアカウント漏洩が多い
SNS内で導入後どのように扱われているか不明
SNSタイムラインに乗るもの、プロフィールに出るものもある可能性が否定できない
権限を確認することこれは日本語で出ているので必ず読むこと
読む癖をつければその時理解できずとも他の物で理解できるようになる
取説と注意書きは斜め読みでもよいので読む癖を付けよう
メンテとの兼ね合いで自己選択しましょう
最強は2段回認証があるメールアドレスを主にしてそれはどこにも登録しない
主メアドはセカンドメアドのパスワードがロックされたときの解除用に使う
そしてセカンドメアドをSNS用、銀行用、買い物用、IOT用に分けておく
パスワードは難しすぎないようにいつもで改変、文字列追加し管理する
まとめ
IOT専用アカウントのメールアドレスを複数取得
パスワードは基本流用しない
パスワードは何かしら暗号して管理帳を持つ
IOT専用アカウントはGmailでフェイスブックアカウントを持っておくと
IOTのログイン時に手間が省けて実質2段回認証と同じくらいセキュリティが上がる
捨てアカウントはネットモラル上良くないのでネット資産を大事にしましょう
ここまで提案しておいて悪いのだが
パスワードの管理はみんなと同じことをしていたら
セキュリティが下がっていると認識しよう
だからここでの提案もひとつの考え方として捉えてください
自分なりに管理する方法を導き出す必要があるだろう