パスワードってどうしてる? 77
ストーリー by Oliver
foobar123 部門より
foobar123 部門より
bravo 曰く,"OSDNサイトもそうだが、自分のアカウントのパスワードはどう管理していますか?
サイトが多くて管理しきれないのでパスワードは全部一緒とか、実はIDと同じとか、セキュリティ上問題のありそうな設定にしている人って結構いるのではないでしょうか。また、上手く管理するコツなどがあれば提言していただきたい。"
自分の管理しているサイトでは新しいパスワード設定時に辞書等と比べて弱そうなパスワードを受け付けない様にしているが、たまに忘れるから簡単なパスワードを登録させろと怒るユーザがいて困る。そんな時には任意の英文を考えて、その中の単語の最初の文字をとってパスワードを作れ、と教えている。あなたのパスワード選択のコツは?
Keyring for PalmOS (スコア:4, 参考になる)
良いパスワードとは?エントルピーとその評価 (スコア:3, 参考になる)
そんなことはありません。H2NP.NETではコンパクト、高速、汎用的で、リーズナブルなパスワード評価を行う関数を公開しています。入力される文字の遷移状態を評価してポイントをつける方法を使い、パスワードのエントルピーの擬似計算をします。組み込むことを考えて強さ、長さのスレッシュホールドを柔軟に選ぶことができます。
ここにおいてあるので、自由に組み込んでください。
実は、どっかのネタに使おうと思って一応Webページ上には載せておいたけど、それっきり忘れていたのを、このネタで思い出しました。
すずきひろのぶ
Re:私の場合 (スコア:3, おもしろおかしい)
Re:Keyring for PalmOS (スコア:3, 参考になる)
PalmOSに備わっているパスワードロック機能によって保護されたデータは, ロック解除された時点,他のソフトウェアからは保護されていません.
また,ソフトウェアによる独自の暗号化によって保護されたデータも,復 号された時点で,他のソフトウェアからは保護されていません.
つまり,いわゆる常駐ソフトのようなものからは保護されていないのです. ですから,悪意のあるソフトウェアがPalmOSにインストールされていると, 秘密データが盗まれる可能性があります.そして sync 時に,秘密データ がPC に取り込まれ,そのPCから秘密情報が漏るかも知れません.
PC に取り付き,sync によって PalmOS に潜り込むトロイの木馬に 気をつける必要があるのです.
よってPalmOS上では,Keyring for PalmOS だけでなく,秘密情報の保護 を目的としたソフトウェアを使うときは,以下の点に気をつけると良いと 思います.
# もちろん,Palm を他人に貸さない,盗まれない,というのも必要
# ですけどね.
Re:やっぱりmkpasswdかな (スコア:3, おもしろおかしい)
すらど宴会SNS開放中 [e-meet.jp]
任意の英文 (スコア:2, 興味深い)
そのうち、クラック用辞書には英語のことわざの頭文字とかが載るようになるのではないでしょうか。でなければ... そこそこ長い英文を考えるのが難しい。 This is a pen. → Tiap だったら短すぎだし。それよりかは、日本語文のローマ字表記の頭文字とかのほうが、もととなる素材のレパートリーがたくさんとれるので、クラックされにくいかも。たとえば「このきなんのききになるき」→ knknnnkknnrk (って、これじゃだめじゃん)。
たしかに面倒 (スコア:2)
もっともそれも結局最初の入口はユーザー名とパスワードな訳ですから、結局それを忘れたら何にもならないけど。
自分は割り切って、いくつかのパターンを組み合わせてます。これだともしも忘れても、いくつかの組み合わせを試せばたいていはOKだから。
pam-ldap NIS file ... (スコア:2, 参考になる)
パスワードをどうやって決めているか? という意味では、
「わいやってへんで~」→ Y8@teHenD-
みたいな語呂あわせにしてます。昔の UNIX MAGAZINE でもこんなのが紹介されていたので、覚えている人もいるのでは?
ちょっと前までは 8 文字までしか受け付けないシステムもあったりしましたけどね。
-- cooper
いろんなパターンの併用 (スコア:2, 参考になる)
その中には,固有名詞の頭文字もあれば,固有名詞もあれば,日本語からアルファベット+数字への語呂合わせも,人に教えられないヤツも,いっぱいあります.
タダサイトとか,Webの掲示板とか,どーでもいいところは,かなりいーかげんで,しかも「同じ物」を使いまわしたりしてます.
でも,重要なやつは自分なりに忘れづらく破られづらいのを個別に適用してます.
masashi
アカウント毎に変えてます。 (スコア:2, 参考になる)
ワタシは基本的にアカウント毎に違うパスワードを設定しています。
かつ、それらはメモを見なくても大丈夫なように。
少し具体的には、ある基本となる文字列(これは辞書には無いデタラメなもの)を用意し、それにサイトのドメイン名等の特徴的な英数字を、ある方法で操作(これは、頭の中で演算出来るレベル)して掛け合わせると、パスワードが出来るという次第。
この「タネとなる文字列」と「演算方法」がわからない限り、パスワードを1個2個見られても類推は出来ないハズ‥‥と自分を納得させて運用しちょります。
こういう質問もまぁ面白いですが、個人的には「サーバのroot(あるいはAdministrator)のパスワードを組織内でどのように管理しているか?」の方が興味あるかな。
/dev/randomで生成 (スコア:2)
/dev/randomを見て適当に文字列をつくるプログラムを
(いま探したらソースが見つからない)ちょろっと書いて使ってます。
キーワードと対応するサイトをファイルにメモしてGnuPGで暗号化
(さすがにこのパスフレーズは自分で考えましたが)すれば大抵の場合
安全かなと思っています。
password (スコア:2, 参考になる)
モデレート したいときには 権利なし
かつかれー
パスワードを知る管理者が居なくなったらどうする? (スコア:2, 興味深い)
私が昔、社内のヘッポコ管理者をやってた時は、
裏から見えないようにした紙にパスワードを印刷したもの
を封印(割り印など)して、
社長室の金庫に保管してもらっていました。
毎月のパスワード変更時に封印されていることを確認してそれを破棄、
新しいものをまた金庫に。
なんて事をしてました。
他に良い方法が見つからなかったのでこういう事をしていましたが、
実際には皆さんどのようにしてるのでしょう。
Re:8文字英数字だと、あんまりなぁ… (スコア:2, 興味深い)
重要なデータを保持していたり、外に晒されていたり(加えて外部の監査が入ってたり)するシステムのパスワードは自発的にあれこれ考えて更新してたりしたので、システムで頑張るのはあまりよろしくないのではないかとその頃は(今でもですが/笑)思っていた次第。
Re:私の場合 (スコア:2)
というか、新しい暗証番号をつける理由がないだけですが。
他人様に説明するようなものでもなし。
ここのコメントを分析して (スコア:2)
杞憂であろうか。
#という理由で、自分のネタは書かないでおく
char *A;
モータースポーツ部 [slashdot.jp]
レコード(CD)番号がお勧め (スコア:2, 参考になる)
Re:いろんなパターンの併用 (スコア:2)
今のところは、別段サーバーを管理していたりするわけではないので、ウェブ上でサービスを受ける際になりすまされるのが一番怖いかなとも思っているですが、それにしてもそんなにたいしたことがないようにも思われるので、破られやすそうなものから、いくつかパスワードを持っているですの。
踏み台にされたりとか、なんかいろいろあるみたいですけれど、いまいち実感がわかないのと、詳細がよくわかってないのがあって、パスワードの話を含めて、セキュリティに疎いのが現状ですの。
・・・でも、よくよく考えてみると、会社で利用しているパスワードが一番単純だったりして(汗)・・・ユーザ名=パスワード・・・。
-------- SORAMINE Yukino
Re:たしかに面倒 (スコア:2)
気になって勤務先の某システムに接続したら、 みごと oracle/oracle !(x_T)
わざと間違える作戦 (スコア:1)
communication→komunikation とか。
これなら辞書にはひっかからないかな、とおもってますがどうでしょう。
覚えているパスワードは1個だけ (スコア:1)
もちろん覚えられるわけがありませんので、これらを一つのファイルにまとめ、そのファイルを暗号化した上で、暗号解除のパスワードだけ、覚えられるものにしています。
一つのパスワード破られると全部パー、という意味では「どこのサイトでも一緒」と同レベルですけど、サイト管理者が悪意を持っていても被害が他に広がらない、という意味では、まあ、ちょびっとマシだと思ってます。
Re:わざと間違える作戦 (スコア:1)
o -> o(zero)
i -> 1
の変換をして生成しております。
SSLクライアント証明 (スコア:1)
で、そうじゃないサイトでのパスワードはどうしてるかっていうと、正直、個人情報が漏れる恐れが無いアカウントについては全部いっしょか、IEに記憶させちゃってますね...。
私の場合 (スコア:1)
これまでに挙がっているような方法で子音文字列が できたら、そこから駄洒落変換で数字や記号に変換 します。(例: banana→ba7のように)
また、サイト毎にパスワードを変えるために、 共通するパスワードにサイト名(または連想するもの)を くっつけてから変換しています。
忘れた時に思い出す方法というのも重要ですね。 私の場合、素として使う単語はその当時ハマっている 事物にちなむ事が多いのですが、 昔登録したパスワードを忘れてしまった時は、 当時何にハマっていたかを必死になって思い出す、 という作業から始まります。日記やメールを読み返したり 本棚を漁ってみたり…
Re:わざと間違える作戦 (スコア:1)
Re:任意の英文 (スコア:1)
例:Asp+cRm2
略語の意味を覚えることもできて一石二鳥?
今年の目標考え中
それは (スコア:1)
ほとんど全部SSH… (スコア:1)
一部パスワードもありますが、フレーズの頭文字や中間から取り出してそれを各種記号でつなぐという感じ。
パスフレーズ自体はそのマシンを入れたときの経緯+そのとき思い入れのある文章が多いけど、忘れっぽいので忘れないように各地を巡回(笑)するのが意外にたいへんです。
最近は某広域分散プログラムの稼動状態を見るために巡回しているので、比較的忘れずにすんでるかも。
Re:わざと間違える作戦 (スコア:1)
q-> 9
なんかも使ってます。
Re:俺のパスワード (スコア:1)
Re:良いパスワードとは?エントルピーとその評価 (スコア:1)
なるほど、興味深い手法です。子音母音の区別を 導入するなど、いろいろな拡張がありえますね。
メモリーに余裕があるのなら、 全文字間の遷移確率をcrackなどの辞書から収集して おいて、与えられたパスワードの確率を計算、 なんて方法も考えられますが、すずきさんの方法に 比して向上するかどうかはわからないな。
Re:それは (スコア:1)
Re:私の場合 (スコア:1)
> 当時何にハマっていたかを必死になって思い出す、
> という作業から始まります。
> 日記やメールを読み返したり本棚を漁ってみたり…
ソーシャルエンジニアリングに通じるものがありますね B-)
-- JunK
Re:パスワードを知る管理者が居なくなったらどうする (スコア:1)
三つ前後のパスワードを使い分けています (スコア:1)
で、こいつらは半年以内に「マイナーチェンジ」を 実施しています。…というか、正確にはしなきゃ いけない状況となる。具体的に言えば緊急避難的に グローバルサイドで生パスワードを使わなきゃならん 事が時々あるということね。
う~ん。『どんなパスワード?』じゃなくて、『どんな パスワード管理?』になっちゃったけど、要点はこっち じゃないかしらん。どんなに優れたパスワードを考え 付いたとしても、永久に使いつづけられる可能性はまず 無いわけだし。
--- Toshiboumi bugbird Ohta
Re:たしかに面倒 (スコア:1)
BTW
自分が見てきた、ユーザーoracleって、PASSもoracleってパターンが多かったです。
ですので、ユーザーoracleのPASSをSQLsaverとしたこともありました。
盲点だと思ったのですがどうでしょう?
ちなみに退社するときに、全てのPASSを変更してと言ってきたので
探してもそのサーバは見つからないはずです。
AMIGA4000T(60/50)使い
Re:パスワードを知る管理者が居なくなったらどうする (スコア:1)
最近のSolaris(*BSDもか?)は、シングルユーザになるときにもrootのパスワードを聞いてくるのよ。
CD-ROMブートがおすすめだろうねえ。
やっぱりmkpasswdかな (スコア:1)
たいていの人は一度設定すると捨てちゃったりするのでパスワードを忘れたって来た時には再発行したり、こっちで保管したパスワードをまた付箋紙に書いて渡したり。
まだ人数が少ないうちはまだ楽かも。
すらど宴会SNS開放中 [e-meet.jp]
8文字英数字だと、あんまりなぁ… (スコア:1)
英数字8文字までしか使えない、
それでいて「セキュリティのために一ヶ月に一回程度はパスワード変更してね」って奴。
自分の怠慢を人に押し付けてるようにしか思えん。
#記号をOKにするか、20文字以上入れさせてくれれば…
しかし、ああいうパスワードをちゃんと月に一回、
律儀に変更してる人っている?
ごめん、俺はやってない。
# mishimaは本田透先生を熱烈に応援しています
Re:わざと間違える作戦 (スコア:1)
ということで
ある単語+似た字形のに記号数字に置き換える+文字列をリバース
としてます。
これなら、自分には覚えやすく、他人に(一瞬ぐらいなら)見られても覚えられにくいパスワードを量産できます。
AppleScript (スコア:1)
ソースを公開したいけど、元ネタがあるし、今となってはそれが誰かもわかんないから、問い合わせしようもないし・・5年も前だから時効かな?
Re:AppleScript (スコア:1)
RanPasswordてのはMac使ってた頃に利用してました。
これかな?
Re:やっぱりmkpasswdかな (スコア:1)
てきとーな生成プログラムを自作して (スコア:1)
簡単な言葉(の、組み合わせ)を覚えておけば忘れてもすぐにパスワードは復元できるわけでそれなりに使えます。
内部的にはむやみとハッシュしまくりのかなり汚いコードなので誰にも見せられないですが(汗)
/.configure;oddmake;oddmake install
オフトピ (スコア:1)
32文字までなのかはっきりしてほしい。
[ユーザー情報編集]でパスワード変更時は
6-32ってなってるけど、
クッキー使用可にしてない画面とか
ユーザー作成、ログイン画面はなぜに6-20?
/. も /.J もおなじみたいだけど・・・
Re:Keyring for PalmOS (スコア:1)
思ってたんだけどこんなのがあったのね、
いい機会なのでこれを使おうっと。
でもPalmってパスワードの入力にそれなりに時間が
かかるうえに入力がそのまま表示されちゃうので
このソフトの管理自体にちょっと不安があったり。
その辺なにかポイントありますでしょうか?
日本語 (スコア:1)
「あしたはくもり」→「3dqfhml」
って、打ってたりしました。
英語キーボードにしてからは
別な方法にしてますけど。
#さすがに2byteコードは使いません
至福の秘密 (スコア:1)
それは置いておいて、自分は「システムを構築したときにふと思いついた言葉」に数字記号を混ぜて作っています。
当然忘れやすいので、キリリックの筆記体でメモを残します。これなら、筐体に張っておいても安全(いやいや実際は別のところに保存していますよ)。
自分で忘れちゃ意味がない (スコア:1)
foobarHP1100とか。(HP-UX 11.00のマシン)
バージョンやIPアドレスを含めるのがポイント?
Tak.Miyoshi
家内にはナイショ (スコア:1)
from もなか