ワイティのものづくりブログ

機械設計と電気工事士からみたホーム、デジタルガジェットに関するものづくりを応援するブログ

ITリテラシとパスワード管理の話

パスワードを忘れたからアカウントを捨ててる人も多いと思う

スマホを変えるたびにアカウントを作ってる人も多いと思う

私からは信じられないが、、、

 

こんにちわ、文句ばかりのワイティです

 

今日はパスワード管理の話したいと思う

 

みんなスマホとパソコン時代でパスワードの管理は難しい

パソコンリテラシの中で一番を誇る難しさだと思う

  

一昔前にサンフランシスコの会社は

機器を発売するときに初期パスワードを同じものを使っていけない

機器別に設定しておくことの法律ができニュースになっていた

日本もその法律を導入するべきだ

 

昔のアンドロイドはパスワードを

平文保存してたバグが最近見つかったとかあったよネ

 

 

簡単なパスワードと初期のパスワードの端末がmiraiウイルスによって

世界に震撼を与えたのもまだまだ最近の話だ

 

一昔前にパスワード管理が一つか二つだった時代

パソコンへのログインパスワードは

毎月を変えるのが常識などは企業内で本当にあった話

そんな頻繁に変えたら忘れるだけ

管理者の仕事が増えるだけ意味ない

 

いつものパスワードに語尾だけ変えるだけ、追加していくだけになってしまう

それも枯渇して忘れていく、もしくは推測されやすさは変わらない

appleの1年以内に使ったパスワード設定不可あれどうにかしてくれないかな?

 

リテラシの高い人の代表として

自分でSDKAPIを組み込んでラズパイでコーディングするにしても

ポート開放してサーバー立ててVPN開通したり

全てはアカウントとパスワードの管理に掛かっていて

パスワードを忘れてしまってはメンテ出来できない

 

パスワードと機器設定は切っても切り離せない重い話なのだ

 

とりあえずレベル1から話してみる

   

※ダメパスワードの例

1、簡単なパスワードはダメ

一番ダメなのが「000」「1234」「asdf」「qwer」

「012345678」「qwertyui」「asdfghjk」文字数増やしてもダメ

「password」「admin」馬鹿パスワードの代表です

 

2、全てのSNSが同じであるパスワード流用

流用問題は後で記述

 

3、自分の誕生日や住所や車番などの番号

自分に関連する誕生日とか車の番号とかも良くないは誰でも知っている

この誕生日が曲者でSNSで入力を求められるのに

セキュリティの時やパスワード再発行の時にも求めてくる

周知の事実をセキィリティ解除に求めてくるなって話だよ

 

4、メモ書きして壁やパソコンに張り付けるのもダメ

 目につく第三者がいないなら良いが 家族や身近な人が敵なのは多い

信頼のおける友人とか親族だろうとアカウントとパスワードを共有するのは良くない 

パスワードは漏洩するものそしてリスクとメンテを最小にするにも

 

※パスワードのコツ

忘れるパスワードより簡単なパスワードの方がマシです 

「kirindaisuki2019」とかすごくパスワード能力高いです

 

英語じゃない言葉が良い

英語の「happycat1999」などは逆に弱い

英語の辞書にあるのは弱い

 

パスワード管理ソフトのアプリで生成される

謎の記号文字を含む羅列は結構悪害です

キーボードで打てない場合もあるくらい

 

色々あるSNSなどの現在のパスワードの種類には

4桁数字、6文字英数字、8文字大文字小文字含む英数時、8文字以上

とかなり複雑で一つのパスワードでは管理できないのは皆さんも同じのはず

  

殆どの人が自分の好きな言葉にしているだろう

それらを簡単な組み合わせにして辞書保存しておくと良い 

アルファベット+数字で充分8桁くらいで充分

 

 

 

1、パスワードの流用を避ける

パスワードは同じものを使いたい傾向は初心者にありがち

ワンパスワードなどのアプリに頼りましょうと言うのもありがちですが

端末が変わればアプリが使えないことも多々ある

例えばFirestickTVでワンパスワードが使えますか?って話

アプリの誤操作でアプリからパスワードが消えることも多々ある

端末が壊れアプリのパスワードを忘れることも考えられる

企業側から漏洩して違うアカウントを乗っ取られるなんて頻繁に聞く話

例えばdropboxで漏洩してフェイスブックを乗っ取られたなんてが実際の事件

この漏洩は詳しい人がネットを検索すれば出てくるので

そんな漏洩検索アプリなどもあるくらいなので漏洩した情報を

知人が持っていることもありえる

知人との連絡用とアカウント管理用のメアドは分けたい

特にYoutuberやブロガーは敵も多いので専用アカウントではじめよう

 

結局メアドも増えるので自分のアカウント辞書を暗号化して持っておくのが一番良い

私もスマホwindowsもブラウザにパスワードを保存しているが

誰かに使われないように本体のログインには必ずパスワードを求めるようにしている

ブラウザ保存はワンパスワードと同じ漏洩リスクがあるが

ある程度漏洩はしかたないとも思ってる 

 

  

違うメールアドレスなら全て同じパスワードでもいい

メールアドレスとパスワードの組み合わせが一致するものが無いなら良い

 

 

あとひとつのメールアドレスに集中させない

私はgmail、yahoo、hotmailそれぞれ2種類づつ6個くらい持っています

 

同じじゃなければ大丈夫 

でもSNSは沢山あるし違うパスワード覚えられないとなるとどうするか? 

  

2、自分のアカウント辞書を作る事

パスワード管理アプリは沢山ある

「1password」信者はそれを使ったらいい

「lastpassword」信者もそれでいい

私はこれらが信頼あるとは思っていない

私はパスワード管理ソフトはそのうち漏洩すると思ってる

漏洩したデータは全てまとめて解読されると思ってる

 

みんな使ってる技術じゃなく、葉を隠すなら森理論

文字を隠すならメモ帳、セキュリティキーを隠すなら己の中

 

暗号もテクノロジーに頼るんじゃなく自分に頼る

そう「自分辞書キー暗号」が最高だと思う

  

暗号で最強なのは「秘密辞書暗号」

公開キー暗号はパソコンには難しいとされているが解けなくはない

自分だけが知っている言葉で暗号化して平文で保存しておくメモ帳

これが最強

 

TKと言えばだれですか?

俺なら小室哲哉だろ

私なら木村拓哉だろみたいな

加藤茶でもいいんだけど

そんな自分の常識辞書を使う

 

パスワード忘れたときに聞かれる秘密の質問あるじゃない?

あれを発展させたものだと思えばいい

 

単語と数字の組み合わせを3種類以上組み合わせ

それをメーカー名とアカウント名、暗号化したパスワードでメモ帳にでも保存する

 

例えば木村拓哉が好きなら

kimura、takuya、kimutaku、1972、1113など

この三つの組み合わせでも良い

それを自分なりに暗号化しメモ帳に保存する

 

メモに保存する内容の例として

 「rakuten(私のgmail)年TK苗字月日」

amazon(買い物@YAHOO)ニックネーム年月日」

こんな感じ 

 

rakutenに登録しているのは

私のgmail.com

パスワードは「1972kimura1113」

 

amzonならYahooの買い物メアド

「kimutaku19721113」

となるんだなと思いだしやすい

 

メモ長には

amazon aアド kパス

 

でもいい

 

aで始まるアドレスで

kで始まるパスワードはあれしかないなとか

 

こんな感じ

これで他人が解けたらすごいと思う

 

リスクと言えばSNS木村拓哉好きですとか公言しない事だね

じいちゃんの名前とか初恋の人の名前とか良いと思う

 

自分の「常識辞書」と「関連付けメモ帳」

で構成しているので忘れにくい

 

これが自分の名前だったり生年月日だったりすると

推測されやすいパスワードになり基本的にだめなので

自分しか知らない好きなものにしておくのが良い

 

同じじゃなければいいので

kimura takuya 1972 1113 だけで

 

kimura1972

1972kimura

kimura1113

1113kimura

takuya1972

1972takuya

takuya1113

1113takuya

 

これだけで8個も作れる

 

KKさんで構成したらさらに8個作れる

キーロガーが来てもその端末しか漏洩しないので比較的安心

 

一個漏洩しても自分がキムタク由来のパスワードにしてる事を

におわさなければ流用されることも、誰にもわからない

 

「果物小4故郷会社AV」

好きな果物、嫌いな果物

小4の年号、西暦

母親の故郷、おやじの故郷

おやじの会社、好きな会社

好きなAV女優、好きなオーディオメーカー

 

何とでも考えられるし

メアドを知っていてさらに自分の中にある辞書じゃないと

暗号は解けない

アナログ最高だと思う

 

これは3つだが4つ、5つと組み合わせれば

何倍もセキュリティはあがるのでオススメである

 

本当の辞書にありそうな言葉kimura、takuyaなどは3つ以上組み合わせたい

辞書に無さそうなkimupon、takuyanなど使えばさらにセキュリティは高い 

合計8文字以上はほぼ解読不能なので安心して良いです

 

それを突破されるなら認証サーバーに問題があるので

それを言い出したらキリがないので簡単なのでいいでしょう

 

1passwordなどで出力される

文字の羅列を進める人もいますが、覚えられないのはマジで悪害

入力しずらいっちゃありゃしない 

 

パスワードのメモ帳はクラウド保存せず

スマホやPCのローカル保存するのが良い

クラウド保存したら漏洩した場合

どんなにセキュリティ高くても誰かに解読される確率があがる

しかもワンパスワードとかの漏洩になると

解読班などが現れてマジで漏洩が怖い

 

※パスワードのバックアップ

 私はかれこれ20年位

ガラケー時代のローカルメモ帳+自分辞書で管理している

iPhoneもパスワード覚えてくれるが

PC側のiCloudの操作ミスって全部消えた苦い思い出もある

 

PCに保存していたメモ帳もあるが

手元にないと不便使えない

 

スマホが壊れたら怖いので年に一回印刷して

自分の引き出しにでも鍵かけて保存しておくのをお勧めする

あえて紙でパスワードを管理する「パスワードブック」がおすすめな3つの理由 | フムフムハック

www.amazon.co.jp


身内に暗号と解ける奴なんているわけないのだから

 

パスワード圧縮してクラウド保存するでもまあまぁ大丈夫だと思うけど

なぜならそのなかに有効なパスワードがあるともわからないし

個人のどうでもいいファイルを解読班が現れて複合するとも思えない

有名人じゃなければまず安心して良いだろう

あなたが有名人ならアカウント情報に本名と芸名を使わないようにしよう

 

そのメモのタイトルに

「アカウント管理」だ「パスワード管理」だなんて

「秘密の鍵」とかも名前を付けたら他人からモロばれになり

解読班の餌食になる

 

「私のメモ帳」くらいにとどめて欲しい

タイトルに「新規メモ帳」などもオススメである

スマホが乗っ取られたときに漏洩しても空気のような

忘れない気にならない名称にしたいものである 

 

 

特に銀行や買い物アカウントとSNS、IOTパスワードは似たようなものを避ける

銀行や買い物はセキュリティが高いので比較的漏洩は少ないように思えるが

SNSとIOTの漏洩はひどいほど毎月問題視されているので

IOTの場合漏洩しても問題にならないから問題も変わってくる

 

パスワードの解除方法として辞書アタックがあるが

これはIOTではハッキングされやすいので気を付けたい

 

こうやって私はスマホのメモ帳には100近いアカウントとパスワードを保存し

そのメモ帳を開くのにパスワードを設定して

スマホを開くのにもパスワードを設定して

パスワードを忘れないように管理している

 

正直見ずらいけどセキュリティを上げることは少しの不便さは必要だと思う

 

結局のところパスワードは企業側から漏洩する確率の方が高いと思っているので

企業側100社漏洩率20%で自分のパスワードは1/5漏洩の可能性があるのかな

ユーザーは1000万人いるとして漏洩率100%だけど自分は1/1000万人

 

便利なものに2段回認証がある

2段回認証とは

メールに時限パスワードを発行するもの

スマホ電話番号SMSに時限パスワードを発行するもの

アプリで時限パスワードを表示するもの(googleフェイスブック

別端末に時限パスワードを表示するもの(銀行系)

最初に通常パスワードでログインし

2段回認証画面に時限パスワードを入力すると言う物

 

様々あるので初心者には仕組みすら煩わしいが

覚えてしまえば楽に対応できるものである

 

2段回認証あれば

1段階目のパスワードは共通の物でも良いかと思ってる

 kimu1172とか

それだけではログインされないし

ログインしようとすればapplegoogleも通知は来る

見覚えが無い通知が来たらパスワードは見直そう

 

漏洩しても2段回認証なのでメールのパスワードが漏洩しない限りは

そのアカウントののっとりは不可能だ

簡単なパスワードがメンテを捗らせるので

2段回認証があるものは率先して導入していきたい

 

IOTはアカウントとパスワードが漏洩するものとして導入したい

アカウントパスワードは決めておいた方が良い

なのでIOTアカウントは専用につくるのがお勧めかな  

 

しかしIOTには2段回認証が無いものが多い

しかしSNS認証なるものが多いので

googleアカウント、フェイスブックアカウントなどは2段回認証を使い

IOTと結び付けるのがメンテを楽にすると思う

 

※本当はSNSと結び付けるのは正直お勧めしませんが

IOTのログインの煩雑さから仕方ないと思っています

 

お勧めしない理由

SNSはアカウント漏洩が多い

SNS内で導入後どのように扱われているか不明

SNSタイムラインに乗るもの、プロフィールに出るものもある可能性が否定できない

権限を確認することこれは日本語で出ているので必ず読むこと

読む癖をつければその時理解できずとも他の物で理解できるようになる

取説と注意書きは斜め読みでもよいので読む癖を付けよう

 

メンテとの兼ね合いで自己選択しましょう 

 

最強は2段回認証があるメールアドレスを主にしてそれはどこにも登録しない

主メアドはセカンドメアドのパスワードがロックされたときの解除用に使う

そしてセカンドメアドをSNS用、銀行用、買い物用、IOT用に分けておく

パスワードは難しすぎないようにいつもで改変、文字列追加し管理する

 

まとめ

IOT専用アカウントのメールアドレスを複数取得

パスワードは基本流用しない

パスワードは何かしら暗号して管理帳を持つ

IOT専用アカウントはGmailフェイスブックアカウントを持っておくと

IOTのログイン時に手間が省けて実質2段回認証と同じくらいセキュリティが上がる

 

捨てアカウントはネットモラル上良くないのでネット資産を大事にしましょう

 

ここまで提案しておいて悪いのだが

パスワードの管理はみんなと同じことをしていたら

セキュリティが下がっていると認識しよう

だからここでの提案もひとつの考え方として捉えてください

自分なりに管理する方法を導き出す必要があるだろう