パスワード管理法
ITmediaニュース:タイピングの「音」でパスワードを「盗聴」――どうしたら防げる?
10分間、誰かがたたいているタイピングの音を分析し、タイプした内容を96%もの精度で再現するソフトウェアを開発したとの論文を、この研究者らは先週発表している
ランダムに発生させたパスワードですら安全ではないということだ。この手法を用いると、5文字で構成されたランダム生成パスワードを20回以内の試行回数で90%の確度で推定することができたという。「これまでのように、パスワードに頼ることはできなくなるだろう」
記事では、どうしたら音からの盗聴を防げるか、という解答を「周りをうるさくする」としています。ちょっと馬鹿馬鹿しいですね。私は別の解答を用意しましょう。簡単です。パスワードは、マウスでペーストする。それが最強。
ついでに、ここ最近(といっても何ヶ月か)の気になるセキュリティ関係ニュースなどを中心にまとめてみました。
フィッシング:キーロガー、スクリーンショットを使う手口が増加 (infostand) - goo ニュース
キーロガー(タイピング順を記録して盗む)の手口も、ペーストで防げます。
パスワード対策 破られにくいパスワードの作り方と盗用予防 パスワード管理・生成ツール
によると、良いパスワードとは
1. アカウント・ID名とパスワードは必ず変える
2. 自分や家族の誕生日・住所など容易に推測出来るパスワードにしない
3. 辞書に載っているような単語を使わない
4. 有名人やキャラクターの名前を使わない
5. 8文字以上の長いパスワードを使う
6. 英数字の大文字小文字を組み合わせる
ということなんですが、さすがにここまでキチッと出来てる人はいないでしょう。で、ついつい使う「短くて」「いつもの」パスワード。これがあぶない。そういうところから、盗まれる。
ZAKZAK 小型カメラで暗証番号ゲット…ゴルフ客からカード盗む
ZAKZAK 携帯の“暗証番号解読器”使う泥棒…カードと共通多く
解読器や、隠しカメラでロッカーや携帯のパスワードを盗んでしまえば、あとはキャッシュカードのパスワードも同じことが多く、そして引き出す、ということのようです。だいたい4桁ですからね。銀行のカードが4桁数字というのもどうかと思いますが、お年寄りとかいろんな方が利用するので、あんまり複雑なものにも出来ないのでしょうね。私は、4桁数字パスワードは、何パターンか持つようにしてますが、どれかが被る可能性は高そう…
話は戻って、先ほどの「良いパスワード」を真面目に実践するには、「覚える」のではなく「メモを取る」のが重要ということらしい。
@IT:Security Tips > 効果的なパスワード管理法
メモを紛失したときのために予備を保管する、とか、メモ自体の盗難に対抗する方法というのも書いてありました。
「盗難」はメモそのものを盗まれる場合と、メモそのものは無事だが中身を写し取られるなど情報を盗まれる場合とある。それに対抗するには、例えばメモを2 つにして8文字ずつ書いておき、1つは手帳や財布に、1つは鍵が掛かる引き出しの中に入れておく。とすれば、盗まれたとしても半分に過ぎないので、盗難後そのままログオンされてしまうことは避けられるはずだ。
まー、そりゃそうですが、これもまた大変。
私は、パスワード管理ソフトを使っています。これは便利ですよ。ID + [TAB] + パスワード という入力を、ワンクリックで操作できるので、別々のウィンドウに入れるIDとパスワードを、一発で入力することもできます。応用すれば、クレジットカードの4つのウィンドウに入れるべきナンバーを一瞬で入れることもできたり。
ID Manager (フリーウェア)
WoodenSoldier Software フリーソフト & プログラミング
いまどき、パスワードやIDの数も増えてきてるので、それを記憶に頼ってやろうとすると、逆に危ない。みんな同じパスワードにしがちですから。むしろ、ソフトに頼ったほうが安全だと思いますよ。
あと、ウェブサービスでもこういうのがあるらしいです。フリーのサンプルを試したところ、わりとシンプル目で、よさげです。ただ、携帯対応というのは日本の携帯では無理なんじゃないでしょうかね。フルブラウザ対応携帯の人なら問題ないですが。
関連エントリ