未分類

いろんなパスワードについて!

どーも!

たかぽんです!

入社二日目ですっ!

そして、本日はいろ〜んなサービスにおけるパスワードについて割とがっつり調べていきたいなって思ってます。

というのも、つい先ほど社内システムを扱うので2FA(二段階認証)の設定をしたのですが、改めて自分のパスワード管理のずぼらさにヤバさを感じたので…w

そろそろなんとかしないとなって・・・w

現状僕はパスワードの管理をevernoteに暗号化(ページの文字にパスワード付ける機能)して保存しているのですが、一元管理は一度バレてしまったら全部ばれますからね・・・orz

それにクラウドサービスに乗っけているのもどうなんだろ・・・って思ってたりもしてます・・・w

なので、今回はそこらへん含めてパスワード管理関係について色々と勉強してみようかなと!

 

パスワードに求められる条件

まず、そもそもパスワードを作る場合、理想的な形としては・・・。

サービスの数だけできるだけ複雑(大文字小文字数字記号を含む長さが長いやつ)で意味のない字列になっているパスワードを入れておくこと。

ですよね。

まぁ、無理ですけど。

仮に何らかのサービスが2つあって、それぞれパスワードの長さが最大14文字と12文字だったとしたら、2As4fG5G7$9Ijd, 7Gt5J*1Ka>acこんなの覚えないといけないわけです。

すごい適当に打ったので打った直後ですらもう一回打ってみろって言われたら無理ですw

それに、記号は使えないものが多かったり、大文字小文字区別があったりなかったり、数字はだめだったり、それぞれのサービスにおいて細かい制約が全然違ってきます・・・。

じゃぁそのまま実現するのは不可能だと諦め、ここから妥協しつつも複雑なパスワードにしていく必要がありそうですね…

アカウントの重要性等によって多少変動しそうですが、パスワードに必要そうなこと、推奨されることを挙げてみます。

  • 100%(に出来るだけ近い確率)で破られないこと
  • 自分で想起できること
  • 自分一人で完結できること(第三者を頼らない)

少ないですが、こんなところでしょうか・・・?

破られても自分の損害が少ないもの(ほとんど呟いてないtwitterアカウントとか)は正直バレたところでって感じですよね。

逆に、会社で使うデータとか、普段から使ってるSNSアカウントとかは絶対バレたく無い!って思いますよね。

パスワード流出にまつわるお話

さて、では・・・。

ここでは反面教師をみていきましょう!

パスワード流出で調べて出てくる事案についていくつかみてみようと思います。

っと、その前に、是非ご自身のパスワードについて流出していないか確認してみてください

パスワード流出チェック

https://haveibeenpwned.com/Passwords

流出してしまっている人は・・・…

そのパスワードを使用しているアカウントを全て洗い出し、変更をした方がいいかもしれません・・・。

では・・・。

過去にパスワードが流出した例を色々見ていきましょう。

まずはこちら!

史上最大の情報流出、7億超のメールアドレスと2000万超のパスワードが公開

つい最近、2019年の1月の記事ですが、沢山のパスワードとメールアドレスのデータセット(組み合わせ)が流出してしまったっていう記事ですね。

原因としてはクラウドストレージサービス”MEGA”にアップロードされていたものが様々なルートで流出してしまったようです。

つまるところ、僕も使っているんですが…google strage, icloud, evernoteやdrop box等のストレージサービスも万全…とは言い切れないようです。

もちろん、運営もそれは承知で各社、セキュリティには力を入れていると思いますので、下手に個人で保存するよりかは安全かもしれませんが・・・。

ただ、データを盗む側からしたら一度破ることができれば比較的大切な情報が一度にたくさん取れることはわかる(ユーザが多いサービスであればあるほど)から、標的にされやすかったりもするのかな・・・?

 

そして次!

LastPassの情報流出事件から紐解く最も安全なパスワード管理手法 – クラウド型は危険?

こちらは記事自体は古いですが、パスワード管理用のシステムで流出が起きたというものです。

現在はそのサービスも復旧し、しっかりと動いているみたいですね。

ただ、大切なパスワードを管理するために使用するパスワード管理用のシステムでも流出が起きる可能性はあるようです。

 

そして、ストレージサービスの例に少し似てはいますが、なんらかのサービスに登録した際にその会社がクラッキングを受けて流出してしまったという例もよくニュースで聞きますね。

有名どころではFacebookやgoogleのアカウント情報なんかが流出した恐れがある〜とかニュースでやってた気がします。

そんな大企業ですら防げないことがあるんですね。

 

そして次は・・・むむむ・・・どうやらパスワード流出に関しては大きな事例ばかりで、数億のアカウントが!とかは結構ありましたが、だいたい話題に上がるのはクラウドサービスかパスワード管理関係、クラッキングのやつですね。

もう少し小規模に見ていくと個人を狙ったクラッキングももちろんあると思います。

偽の当選メールなんかでWEBサイトに誘導して偽のフォームに入力させたり・・・。(電子メールでのフィッシング

とにかくあらゆるパスワードをプログラムに打たせていつか当たるのをまったり。(総当たり攻撃

紙媒体にパスワード等の重要な情報を書いててそれを落としてしまったり、スマホの解除を横目に見られたり、と、人為的なものでしょうか。

細かくあげるときりが無いですね・・・。

こうならないためには!

絶対に破られないパスワードの設定!

そして自分自身が騙されないように詐欺に知っておく必要が有りますね。

後者に関しては今回は説明しません。

気になった方は”インターネット 詐欺対策”なんかで調べるといいかと!

では次はどうすれば難しいパスワードを簡単に再現できる手法で管理することができるのか頑張って考えていこうと思います!

 

 

解決策

さて、問題もなんとなく見えてきたところで、どうすればいいのかをガチで考えていこうと思います。

 

どうしようもない場合

ここで、最初に如何しようも無い場合について考えます・・・。(消極的とか言わないで…

基本的にパスワードを扱うとき、そのパスワードは自分とサービス側(アカウントを管理している側)が持っている必要があります。

ユーザーがサービスを使いたい時、それらを照らし合わせて

”お、今来た人はあのとき登録してくれた●●さんだ!”

ってサービス側がわかるようにするために使われます。

スマホのパスワードなんかもそうですよね。

スマホが

”お、この人は本当の持ち主だ!じゃぁ通してあげよー”

ってなるわけです。

もしも間違えた場合、

”ん?この人は本当の持ち主じゃない!通しませ〜ん!”

ってなるわけです。

なので、このサービス側が保存しているパスワードが流出してしまった場合、正直どうしようもありません…

だって自分のあずかり知らぬところで起きてしまってますからどんなに自分が気をつけても流出は防げないですよね。

それすらも嫌な人は…そもそもパスワードが必要なサービスを使わないのが正解なのかもしれません。

なので、今回は”自分で管理しているパスワードが流出する”のを出来るだけ防ぐ手法を考えていきます。

 

パスワードに関する一連の動作

さて、それでは個人でパスワードを扱う場合の一連の作業を段階に分けようと思います。

  1. パスワードを作成する
  2. パスワードを(記憶/保管)する
  3. パスワードを(思い出/取り出)す
  4. パスワードを(強化/再設定)する

この4つの手順くらいかなと思います。

例えばAサービスを使用する場合、初回に個人の情報とパスワードを任意(自由)に決めてそれらを合わせて登録します。

この時、出来るだけ長く、そして予測されづらいパスワードにする必要があります。

ここが段階の1です。

そして、そのパスワードは次にAサービスを訪れた時に必要になります(中にはログインしたままにできるものもあったりしますが…)。

つまり、その時まで頭で覚えるか、どこかに保管してサービスを訪れたタイミングですぐに見れるようにしないといけないわけです。

ここが段階の2,3にあたりますね。

そして最後はたまによく聞きますが、パスワードを定期的に変更してくださいとか言われたりすると思います。

それです。

ここが4。

イメージできたでしょうか?

4は必ずしも必要では無いですが、自分のパスワードが流出しているか確認して、もしも流出していたらすぐに変えた方がいいです。

事後の対応だったり、忘れた場合の対応って感じが大きいですね。

定期的に変える事で〜というのもどちらかというと知らないうちに流出してた場合に定期的に変えれば大丈夫だよね!っていうためだと思います。

 

なんとなく流れがわかった所で、早速パスワードを作っていきましょう!

いいパスワードを考えるためには悪いパスワードを理解しておいたほうがいいですね!

っというわけで、まずは悪い例をいくつか。

パスワードの悪い例

・同じ文字の多用

例:”aaa”, “hhhhh”, “000000”

同じ文字列は基本的にやめた方がいいですね。

昔ベトナムでfree WIFIが”000000″で店員さんに聞かずともこれわかりそうだなって思ったこともあります。

全く喋ったことも無い人に簡単に入られたらたまったもんじゃありません。

 

・連番

例:”abc”,”123456789″,”aiueo”

ここでいう連番とは、意味的に連続にっているものです。

アルファベット順に順番に並んでいたり、ローマ字で並んでいたり、数字だったり、これらも昔からダメって言われてますね。

・言葉や固有名詞、意味のある文字列

“takapon”,”google”,”college”

最初のtakaponは皆さんの名前だと思ってください…w

とか、言葉や固有名詞も控えた方がいいですね。

そして意味のある文字列というのが、googleだったらあのグーグルってわかりますよね?

なら、”a3D5g7″これの意味ってわかります?そういうことです。

これに意味なんて無いです(僕がいま適当に叩きましたから。

・意味は無いが、類推しやすいもの

例:”qwerty”,”ecsF1F2″

これは一例ですが、キーボード配列をそのままで入力したものです。

特に言葉自体に意味はないですが、やはりバレやすい。

 

・短い

例:”D4G”,”aR6Dg”

仮に今までのを全てクリアしていても、長さが十分じゃなかったら総当たり攻撃(あり得るパスワードをとにかく全部試してみる)をされた場合にあっさりと破られる可能性があります。

例えば上記例の3文字なら…?

アルファベットの大文字小文字、数字が使用できるとしましょう。

その場合、

アルファベット小文字と大文字 = 52種類(a ~ z, A~Z)

数字 = 10種類(0~9)

3文字のそれぞれの桁が62通りあって、重複もOK(aaaとか33dとか)だから、62*62*62 = 238328通り

でした。

一見、え?十分じゃね?

って思うかもしれませんが、今の時代パソコンが全部の通りを瞬時に入力してくれたりします…

そうするとまさに瞬殺でしょうね・・・。

すごい個人的にですが、短くても8桁以上で制限がかけられている所が多い気がします。

もちろん、多い方がいいですけどね!

 

・大文字小文字数字いずれかのみで構成されている

例:”1502894″,”algkdotmw”,”AIKTOED”

意味がなく、一見しっかりしているように見えますが、先ほどの試算で考えるとわかるのですが、一つの桁に入る文字の種類が減ってしまいます。

例えば数字のみで7桁の場合

数字は10種類なので、10^7(10の7乗) = 10000000通りです。

もしもこれが62種類になったら…3521614606208通りです。

見てわかる通り、全然違いますね。

 

さて…悪い例がわかったので自ずとどんなパスワードにすればいいかもわかったと思います。

次はその後の管理の部分について触れていきます。

 

・悪いパスワードの管理方法

 

・信頼性の無い媒体での保存

例えばあらゆるパスワードを紙に書いてお家のタンスにでもしまいましょう。

忘れたら都度タンスを開ければ確認できるかもしれません。

しかし、もしも火事が起きたら・・・。

家族が勝手に捨てたら・・・。

風化してで字が消えてしまったら・・・。

なんてこともあるかもしれません。

また、古くなった携帯やHDD、USBなんかに保存していて、急に使えなくなってしまい、データの取り出しも不可能になってしまった!

なんてこともあるかもしれません。

確実に信頼できる(自分がいきている限り存在し続ける)のは自分の頭くらいでしょうか・・・?

あるいはしっかりした金庫の中に入れ込んでしまう…とか?(金庫のパスワードは結局頭で覚えないと行けないかもしれませんが…

 

・自分以外に保管を任せる

先ほどいくつかの例もみましたが、大企業やもともとパスワードを扱っていて、セキュリティに力を入れているだろう会社ですら流出してしまう事があります。

一番信頼できるのは自分自身です。

管理するのは可能な限り自分だけで完結させたいですね・・・。

 

・すぐに確認ができない

いくら厳重に保管して流出は防げても、自分が確認するのに時間がかかってしまってはあまり意味がありません・・・。

amazonで買い物しようとログインするたびに家の金庫を開けたりするのも嫌ですよね・・・。

 

・他人の目につく場所に保管する

パスワードがそのまま他人の目に触れてしまうのはもってのほかですね。

会社のパソコン画面に付箋でパスワード保存したり、鍵のついてない引き出しの中に保存したりするのも危険です。

 

 

じゃぁどうすればいいのか!?

はい、段階1と2,3について悪い例を色々とみてきました。

これらから僕なりに考えたパスワード管理を書いてみようと思います。

まず、パスワードを覚えるのはやめましょう!

そしてパスワードの長さは長くしましょう!

・・・。

うん。それができれば楽ですよね。

でも実はそれも難しく無いんです!

重要なのは”ルール”です。

 

では一例を教えますね?

例えば…

まず最初に自分の使っているサービスのアカウントリストを作ります。

  • google
  • apple id
  • amazon
  • xserver
  • twitter
  • メルカリ
  • line
  • facebook

こんな感じですね。

そしてこのリストに対してルールを作るわけです。

  1. サービス名の頭文字二文字+文字数を使用する。
  2. そのサービスのパスワードはリストのそのサービスの箇所から始める
  3. 日本語のサービス名は無視する

これくらいなら皆さんでも覚えられるのでは無いでしょうか?

この場合、google関係のパスワードは

“go6ap7am6xs7tw7li4fa8”

こうなります。

最初の三文字は”google”の最初の二文字”go”に、”google”はアルファベット6文字なので6を。次は”apple id”なので、”ap”に7を。

といった具合です。

メルカリは日本語で書かれているので無視しました。

もう一例で、lineのアカウントだった場合、

“li4fa8go6ap7am6xs7tw7”

となりますね。

こうすることでサービス名ごとに異なるパスワードを生成する事ができます。

ただ、ぱっと見大文字がないので、リストに大文字を加えたり、あるいはルールに新しく”2の倍数は大文字にする”とか入れるとさらに強いパスワードにできますね。

  • Google
  • Apple id
  • Amazon
  • Xserver
  • Twitter
  • メルカリ
  • Line
  • Facebook

例えば一般的な表記に従うとこんな感じですね。

するとgoogleのサービス系のパスワードは

“Go6Ap7Am6Xs7Tw7Li4Fa8”

こうなります。

どうでしょう?21桁の大文字小文字数字を含むパスワードが簡単に作成できました。

また、使っているサービスリスト程度であれば、クラウドサービスやメモ帳に書いておいて、仮に盗まれたとしてもパスワードが見つかる危険性はぐっと低くなるでしょう。

なので、evernoteやメモ帳、家の紙のメモなどに現在使っているサービスの一覧表!的なもの作っておけばいつでもこれらの複雑なパスワードが比較的早く想起できます。

そして、ルールは個人で好きなように変えられます。

 

例えばリストはそのままでルールを少しだけいじってみます。

  1. 各サービスの最初と最後の一文字、そしてその文字数を使用する。
  2. 順番に文字の位置を左から右へずらす。
  3. 日本語は無視。

こんなルールがあったとしましょう。

“Google”の”Gとe”、”6″を使います。

“Ge6″となりますが、googleは最初なので、数字も一番左へ。

つまり、”6Ge”になります。

次に”Apple id”の”Aとd”、”7″を使います。

“Ad7″となりますが、apple idは二番目なので、数字は真ん中へ。

つまり、”A7d”になります。

先ほどの”6Ge”と繋げ、”6GeA7d”となります。

この調子で続けていくと・・・。

“6GeA7dAn67XrT7rLe48Fk”

このようになります。

ひとつ前の例は3の倍数に数字がきていたり、規則性が見受けられましたが、ルールをほんの少しだけ変えた事によってさらに難解な感じになりました。

クラッキングは詳しくないですが、おそらくこれを破るのは至難の技かと・・・。

そして、今回はサービスの数が少なめなんですが、例えばさらに数が増えたら使用しているサービスから8個下のサービスまでといった制限を儲ければ大丈夫です。

例では7このサービスをじゅんぐりしていて、全てのパスワードに同じ文字が使われてしまいます…が!

サービスの数が増え、数に制限を持たせれば全てのパスワードが異なる文字の組み合わせを用いている事になります。

また、第三者にパスワードの情報を預けるのはリスクが伴うといいましたが、パスワードをそのままの形で保存し(預けているデータがバレてもパスワードはバレ)なければ大丈夫です。

 

ここで、気をつけておいて欲しい事がいくつか。

このリストは複数箇所に保存すること。

(順序が非常に大切になってきます。一度データが消えると再現も困難でしょう)

バレても全然平気なんです。

複数箇所のクラウド上、そしてよく使うPCやスマホのメモ帳においておけばバッチリですね。

新しいサービスを開始するたびに追加、同期はしないといけませんが、最強のパスワードのためなら我慢できる・・・かも・・・。

そして、ファイル名や見出しも、好きなサービスリスト!や、大っ嫌いな会社ランキング等、好きなようにカモフラージュしましょう。

また、パスワードにはサービス側で制限があったりします(アルファベットしか使えなかったり、桁数が8桁以下だったり・・・。)。

そういった場合には、少し不自然ではありますが、リストの社名の中に”アルファベット-only”

や,”Max-8″など、それっぽい感じでぶっこんじゃいましょうw

最悪、日本語でそのままでも大丈夫かと思います。

(日本語無視していればその次からスタートできますしね)

見てもは?ってなるだけな気も。

そして、あまりにも数が大きくなって見るのが大変!なんて人は社名の中に”ネット通販系”。

や、”ゲーム系”を作ってしまえば、ネット通販系のスタート地点は同じ位置から開始=同じパスワードにする事ができます。(amazonとかは全て消して…残すと混乱するかも。)

さて、こんな感じで、自分ルールで自分のパスワードを作っていくことを皆さんにおすすめしたいと思いますっ!

早速僕もルール決めてアカウントのパスワード修正してこようと思います!

ただ、出来るだけ手間は省いたものの、それでも多少他の方法と比べて時間はかかってしまうと思います。

なので、比較的大切なアカウントにはこれを使用し、使用頻度は高いが、あまりバレても被害が無いものは従来通り、信頼度の高いパスワード管理ツールやクラウド上に保管でもいい気がします・・・。

(ってか最終的にそうなりそうな気がする。)

 

とにもかくにも!

パスワードを変えるか変えないかはおいておいて、これを機にぜひ皆さんも今一度自分のパスワードやアカウントの整理と確認をしてみてくださいっ♩

ちょっとでも関心を持ってもらえれば幸いです!

それでは!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください