タグ: パスワード管理

パスワード桁数8文字は目安なのか

パスワードも沢山管理していると変更も段々面倒になってきます。
そんな中、米ブログで「強制的なパスワード変更は考え直すときだ」とされる論文が発表されました。それじゃ、パスワードの定期変更を促してきたメーカーの立場は?パスワード変更無駄なの?と思ってしまいます。
個人的には無駄とは思いませんが、パソコンの性能や解析ソフトが進化していけば、簡単なパスワードは解かれるのは時間の問題でしょう。

では本題です

現在、無償で利用できるパスワードチェッカーで組み合わせを調べて見ました。

パスワードチェッカーは目安で使用

2つの無償サイトで比較していますが、パスワードはテスト用として「T_e;/:st」でテストしています。

マイクロソフト
パスワードチェッカー
https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx

MSパスワードチェッカー

カスペルスキー
パスワードチェッカー
https://kasperskylabs.jp/ubi/wd/pwdchk/

kasupeパスワードチェッカー

マイクロソフトの方は有名どころで、パスワードのベストな組み合わせなども説明されている為、初心者でなくても使いやすい所でしょうか。また、パスワード強度判定を行った後、数秒後自動的にクリアされるのも良心的と言えます。

一方、カスペルスキーの方はどの程度で入力したパスワードが解かれてしまうか説明されており、面白いつくりになっています。画像では入力した文字が見えていますが、「*」を押すと文字が伏字になります。

同じパスワードを入力テストして、マイクロソフト側は「普通」、カスペルスキー側は2世紀・・・ほとんどあてになりませんが、判定の目安にはなると思います。

参考リンク
・「パスワードの強制定期変更」は時代遅れ、企業に再考促す(IT Proより)
・コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について(IPA 独立行政法人 情報処理推進機構より)(表:1-1参照)

まとめ

やはり8桁以上文字区別有がベストか
IPA独立行政法人 情報処理推進機構のサイト情報によると、8桁以上で英字(大文字、小文字区別有)+数字がベストな組み合わせと紹介されています。

もっともこれは目安であって、パソコンの性能が進化する事で年々変わっていくのは当然かと思います。

また、8桁以上を推奨されても、サイトによっては桁数に制限がある所もありますし、記号が使えないサイトも存在します。

ネットバンクならともかく、あまり変更に敏感にならなくても良いかも知れません。
ただし、ご自身の誕生日や「12345678」などは論外です。この辺に気を付ければ問題ないと思っています。後は決めたパスワードをしっかり管理する事だと思います。

マウスコンピューター/G-Tune
Pocket

終りなきパスワード管理の現状

パスワード管理ほど面倒なものはありませんが、別にネットを使わなくてもあらゆる所でパスワードの管理が必要になっています。
興味深い記事を目にしましたので、そちらを参考にしながら管理人目線で記事にしていきたいと思います。
すぐに参考記事を見たいと言う方は以下、参考リンクからお願い致します。

では本題です

当ブログでも以前「パスワードを忘れて再発行の経験」としてパスワード管理ソフトのID Managerを紹介させて頂きました。

現在は最新Ver8.1ですが、IE9以降では「一括貼り付けができない」と公式サイトでも認めており、
一括貼り付けの場合はMozillaFirefoxなどを検討してくださいとあります。ID Manager公式(FAQより)
ですが、コピペに関しては問題無く使えます。
(一部サイトに関してはマウス操作だけではペーストが出来ない所がありますが、Ctrl+Vで貼りつけできています。)

エクセルとパスワード管理ツールの活用

使用するサービスが増えればそれだけパスワードの数も増えていきます。
管理人は20ほどサービスを使用していますが、それでもIDなどを混ぜるとすべてのパスワードが当然違う為、
管理対象数は倍以上に膨れ上がります。

そこでエクセルの出番です
エクセルで管理するのは危険と書いている所もありますが、
ネットバンクなど、金銭に直結しないもの(ブログなど)であればエクセルなどの表計算ソフトで管理するとかなり楽です。

パスワード管理ツールの活用
頻繁に使うサービスは管理ツールからパスワードを入力した方が楽です。
エクセルは便利ですが、入力のたびに開いていたのでは面倒ですし、複数ユーザーがいる場合共有すると逆にデメリットになりますので、管理者のみ開ける様にしておくと良いかも知れません。

最後はやはり紙に戻る

重要なサービスなどはまだ紙で管理しているのが現状です。
PCにも保存していません。
じゃあ、PCに保存してあるのは重要ではないのかと問われると消えたらプチパニくるでしょう。
だからこそ最終管理が紙であると言いたいのです。
PC上でバックアップを取っても問題ないと思いますが、パスワードを更新したらバックアップも常に更新しないと意味がありません。

人はものを忘れる

下記、参照リンク記事にも書いてありましたが、悲しい事に人は物事を忘れます。
「パスワードの10や20は記憶しているよ」と言う方であればそれはたいしたものですが忘れた時の為の管理です。

また、近年のパスワード桁数は最低8桁以上を推奨しています。
まれに、サーバーの構成により桁数が制限されている所や、英数小文字のみという所もありますが、
長ければ長いほど良いとされている様です。

参照リンク

・パスワードクライシス・前編 パスワードって何だ?
・パスワードクライシス・中編 パスワード管理を取り巻く現実
・パスワードクライシス・後編 無理のないパスワード管理をどうするか
(ALL ITmedia、エンタープライズより)

*****     まとめ     *****
  • 何を管理対象にするか
    なんでもかんでもデータ化してファイルに放り込むのは好ましいとは思えません。
    上記でも書きましたが、ネットバンクのパスワードなどは万が一被害にあった場合取り返しがつきませんので、面倒でも紙に書いておくか、どうしてもPCで管理する場合は「最低でも一カ月に一回」はパスワードを変えるなど細心の注意が必要となります。
    ブログサービスなど比較的金銭面に直結しないものであれば利用しているサーバーなどに被害があっても対応は最小限で済みます。
  • それでも絶対安全はない
    PCで管理しても、紙で管理しても「絶対安全」はありません。
    PCの場合パスワード管理ツールを使えば暗号化されているので比較的安全だと思いますが、エクセルファイルを暗号化しても、もし外部にファイルが漏れた場合、暗号を解読するソフトはいくらでも出回っているのが現状です。また、紙で管理したパスワードを入力する場合、使用するPCにキーロガーというウイルスが仕込まれた状態で打ってしまえばそれまでです。
    (アンチウイルスソフトを入れ、PCは常にセキュリティ状態を最新にしておく事が重要です)
  • こまめに管理するしかない
    パスワードの使いまわしは論外ですが、とにかく被害を最小限に抑えるには現在使用しているサービスのパスワードをこまめに変更管理していくしかない様です。
    そして、使用していないサービスでメールだけ配信されてくる様なものはサービスを退会しましょう。
    (余計なトラブルの元です)
Pocket

ついに来たOpenSSL対応サイトからのお願い

ついに来たかって感じでしたが、幸いにも情報をもらっているだけのサイトだったので
「パスワードをご変更いただくことを強く推奨いたします」という事でパスワード変更だけで済みました。

では本題です

今回の案内は、迷惑メールでは無い事をサイト元や、登録メールで確認を取った上で変更を行いましたので問題はないと思います。

パスワード変更は充分確認を取ってから

今回の様に、サイトから対応完了のアナウンスがあってから、もしくは、「データ暗号化ソフト「オープンSSL」で脆弱性」で紹介した Heartbleed脆弱性検査を行い、OKであればパスワード変更した方が良いと思います。

OpenSSLの脆弱性の対応が終わってないサイトに対してパスワード変更して、その後サイトから対応終わりましたとアナウンスがあった場合、もう一度変更をしなくてはならず2度手間になってしまいます。

複数サイトでのパスワード使いまわしは危険

これは前々から言われている事ですが、例えば管理しているサイトが3つあったとします。

仮にサイトA、B、Cとしましょう。

パスワード変更が面倒だと、すべて同じID、パスワードにしていた場合Aのサイトが被害にあった時、B、Cのサイトも同じだと、Aサイトで盗まれたID、パスワードからB、Cのサイトへいもづる式に被害にあう可能性があります。

パスワード管理には無料のソフトがいろいろ出ていますので複数サイトを管理する場合はこの手のツールに頼った方が効率と安全性が確保できます。

参考リンク(Heartbleed脆弱性検査サイト)

・シマンテック(SSL Certificate Checker)

・海外サイト(ハートブリード検査)

その他

・IPA 独立行政法人 情報処理推進機構

OpenSSLの脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について

OpenSSLの表記について

上記サイト、IPAやセキュリティベンダーは「OpenSSL」としている事から今後の記事に関しては「OpenSSL」表記に統一していきたいと思います。
なお、すでにUPした記事の表記に関しては 記事全体に問題が生じなければ修正はしない事にしています。

Pocket

パスワードを忘れて再発行の経験

パスワード忘れた・・・再発行!!、再発行!!・・・な~んて経験は無いでしょうか?管理人はありました。

現在ははツールに管理を任せており、かなり楽になっています。

では本題です

ツールとは言え所詮人間が扱うものですので、その辺をふまえてメリット・デメリットなど紹介いたします。
紹介ツール:ID Manager(フリーソフト 窓の杜より)

みなさんはパソコンを使うたび、何回ログイン画面と対してますか?

・ブログ更新の為

・フリーメールで使用の為、まだまだあると思いますが登録する所が増えれば、IDもパスワードも増えていき収集がつかなくなってきます。
そんな問題を助けてくれるツールがこちらです。

ID Manager(フリーソフト 窓の杜より)

IDM

インストールした初回はご自身で決めたパスワード設定が必要です。
(このパスワードを忘れると、上記の管理画面に入れません)

何でも良いでしょう頻繁に使用されているログインサイトの管理画面を作って見ましょう。

編集から新規フォルダを作り、新規項目の追加でサイトタイトル、ID、パスワードを入力します。

ヤフーログイン画面

ylogin

上記は例としてヤフーのログイン画面になりますがIDの所にカーソルを持って行き、
ID Managerの一括貼り付け(Titleとなっている所)でクリックしてID、パスワードを貼り付け、ログインするだけです。

(補足:上記の一括貼り付けがIE9あたりから効かなくなっていますが、それは開発者も認めています。対処方として、CTRL+CとCTRL+Vを使えば貼りつけは可能です。)

また、パスワードが離れてしまっているサイトでも、単独で入力が可能となっておりこのタイプ(IDとパスワードが対になっているサイトはすべて通用します。(会社独自のログイン画面には未対応の場合があります)

ID Managerのパスワード生成画面

pseisei

上記のようなパスワード生成機能も備えており、かなり強固なものが作れる様になっています。

・メリット

ID、パスワード管理がすごく楽になる

・デメリット

パスワードを保存したデータが消えたら終り(初めから再度設定、HDDクラッシュなど)

*****     まとめ     *****
  • 便利なものにはデメリットが付き物です。
    パスワードは「印字するな」と言いますが、管理者が自分であれば問題ないと考えます。
    データを完全消失した時、最後に頼るのは今でも「紙」です。
    (印字するな、PCに貼っとくなは会社では常識ですが)
    また、パスワードを平気でメール配信してくる所がありますが、これはこれでやめてもらいたいです。
  • 今回紹介した、ID Manager以外にも管理ツールは沢山ありますのでご自身にあったツールを見つけてください。
HP Directplus オンラインストア デル株式会社
Pocket