堅牢で憶えやすいパスワードの作り方(1)の続き How Secure Is My Password ?で確認した感じでは、パスワードは、 アルファベット小文字+数字であれば12桁以上 大文字+小文字+数字なら11桁以上 大文字+小文字+数字+記号ならば10文字以上 が必要というところでしょうか。(将来もっとコンピュータの性能が上がるともっと桁数が必要になるかも知れませんが) さらによく使われる単語は使わない。 となると、しかし、完全にランダムな意味のない文字や記号の組み合わせを、何通りも憶えて置くのは大変です。 ショッピングサイト等でもすべてログインユーザー名とパスワードを登録するのが普通ですから、登録サイト数は数十~百以上になる場合もありそうです。 もはやそのパスワードをすべて覚えておくのは不可能な気がしますが、ではどうしたらよいか・・・ そうなると、考えうる対策は
- すべてを紙に書いて(カードにして)財布に入れておく
- パスワードの管理ソフト使う
- 生体情報認証を使う
- ドングルを使う
- 覚えやすく堅牢なパスワードを使う
というような方法が考えられるでしょうか。
すべてを紙に書いて(カードにして)財布に入れておく
誰だったか忘れましたが、世界的に有名なネット関係の企業のトップクラスの人が言っていたような気がします。もうそうするしかないと。 しかし問題はあります、その紙なりカードなりが盗まれてしまったら全てのパスワード情報が流出してしまうことになります。財布に入れていて、財布をどこかで盗まれたり紛失したりしたら・・・ まぁ、これは、クレジットカードや家の鍵を盗まれたら大変なのと同じと考えれば、きちんと管理するしかないという話かも知れませんが。 (パスワードを前半と後半に分けて、別の場所に入れて持ち歩くという対策もあるかもしれませんね。)
パスワードの管理ソフト使う
パスワード管理ソフトに様々なサイトのパスワードを記録させておき、自分は管理ソフトを起動するための、いわばマスターパスワードをひとつだけ憶えておけば良い、という方式ですね。 なかなか合理的な方法だと思いますが、ただ、これはその管理ソフトを使える環境が限定されてしまう事が問題ではないかと個人的には思います。常に自分が使うパソコンが一台のみということなら良いですが、出先のパソコンを借りたりした時にパスワードが分からなくなってしまいますね。 (出先のパソコンでパスワードなど入力すべきではない、という説も一理ありますが。キーロガーなどが仕掛けられていないとはいい切れませんからね。) ☆マスターパスワードというのは、パスワードのメモを持ち歩く方法に応用することはできるかも知れませんね。例えば、紙に書いてあるパスワードを、自分しか知らない方式で暗号化しておく。(文字をアルファベット順で指定文字数だけずらしておく、特定の文字を挟み込んでおいてそれを除外する、等。)自分はその暗号化を解除する方法だけを憶えておけばよいわけです。原始的な方法であまり複雑な暗号は使えませんが、紙を盗まれてもリスクは少し減らせますね。
生体情報認証を使う
パソコンやスマホでは指紋認証が一番一般的でしょうか、自分を識別するための自分の体のユニークな特徴がある部分を認証データとして使う方法ですね。最近では虹彩、網膜、静脈認証や、顔認証なども開発されておりますね。 ※顔認証に関しては、もっとも高精度のものは、双子であっても識別可能だそうですが、普及しているのは、Tシャツにプリントされた顔写真でも認証してしまうという、なんちゃって顔認証のほうが多いようなので、注意が必要ですね。
「玄関に顔認証システムを導入すると…こんな罠がある!」拒否された理由がこちら : らばQ
最新のスマートフォンにも搭載されている顔認証システム。自宅の玄関のオートロックを通過しようとしたところ、その日だけなぜか顔認証システムに拒否されてしまった人物がいました。不思議に思ってカメラを確認してみたところ……意外な理由が発覚したのです。そこには「新しい顔を検出しました」との表示。なんと認識されていたのは自分の顔ではなく、Tシャツにプリントされていたバットマンだったのです!どうせならバットマンの顔を認証するように、家族の一員として登録しておきたいくらいですね…
最新のスマートフォンにも搭載されている顔認証システム。自宅の玄関のオートロックを通過しようとしたところ、その日だけなぜか顔認証システムに拒否されてしまった人物がいました。不思議に思ってカメラを確認してみたところ……意外な理由が発覚したのです。そこには「新しい顔を検出しました」との表示。なんと認識されていたのは自分の顔ではなく、Tシャツにプリントされていたバットマンだったのです!どうせならバットマンの顔を認証するように、家族の一員として登録しておきたいくらいですね…
labaq.com
生体認証は、そのためのデバイスと専用の管理ソフトウエアが必要になりますので、そういう意味ではパスワード管理ソフトとあまり大差ないかも知れません。
ドングルを使う
ドングルとは、コンピュータに接続する小さな装置を指す俗語です、最近はあまり使われなくなりましたが、ある種の有料のソフトウェアを起動する時に、USBポートやパラレルポートに専用の機器を取り付けていないと起動できないようになっている、いわばソフトウェア用の物理的な鍵のようなものですね。 昔はCADソフトなどで、ソフトウェアとドングルがセットで販売されているタイプもありました。(というかソフトウェアは誰でもDL可能で、ドングルを販売するような形?) 工場からドングルが大量に盗み出されたりという事件もあったようです。その後、マイクロソフトがネット経由での認証を導入し、その他のソフトも今はほとんどがネット経由のアクティベーションがスタンダードになりましたね。 (以前はネット環境がない人用に電話でも認証できるような方法が用意されていることが多かったですが、最近はネットがない人は使うなというような状況になっているようです。セキュリティ的にネットから切り離しておきたいPCなどではどうすればいいのか?という疑問が残りますが。。。) 最近では、スマホを使った二段階認証や、一定時間ごとにパスワードが変わる専用トークンなどが、このドングルタイプの進化系なのだと思いますが、要するに、認証に、なにかしらの外部デバイスがもう一つ必要で、それを同時に揃えないと認証できないシステムですね。 これからスタンダードになっていく可能性のある、体内に認証チップを埋め込む方式も、この延長ですね。 ただこれは、運営側が導入・対応してくれないと、自分ではどうにもできないわけですが。 また、規格が統一されていない状況では・・・体内に何種類もの認証チップを埋め込まなければならなくなったりするかも?(笑)
コメント