パスワード管理の秘策は? 84
ストーリー by hylom
最もよろしくないソリューション「全部同じパスワードにする」 部門より
最もよろしくないソリューション「全部同じパスワードにする」 部門より
あるAnonymous Coward 曰く、
本家「Best Tool For Remembering Passwords?」より。
最近自分のセキュリティに関して再考している。万が一ノートPCが盗まれた場合のことを考えると、Firefoxに自分の銀行サイトなどのパスワードを保存しておくのは良案とは思えない。またパスワードを全て覚えておくというのは、最近の記憶力の衰えた自分の脳みそにはなかなか厳しいのが現状だ。パスワード管理ツールの導入も検討したが、あまりに多くのツールが出回っていて正直把握しきれない。Firefoxのアドオンの「Magic Password Generator」などは良さそうだが、アドオンを入れていないコンピュータを使うこともあるかもしれないし、Firefoxで使う以外のパスワードも管理したい。
出来ればアプリケーションやブラウザ、また端末依存でなく、持ち運びしやすく、万が一無くしたとしても安全なものというのが理想なのだが、/.erはどんなツールをお勧めするだろうか?
本家/.では「パスワードのみ紙に書いて財布に入れておく」というアドバイスが5点を獲得している。パスワードのみ書き留めておき、「何の」パスワードかは頭に入れておけばいいということらしい。また、仕事柄多数のパスワードを管理している/.erはPassword Safeが非常に便利と勧めている。
/.J諸兄方はどんなパスワード管理の秘策をお持ちだろうか?
パスワードのモトを書いてます。 (スコア:3, 興味深い)
「ある変換」は簡単な文字列変換ですが、自分で決めたルールに従っています。(ROT13なんかじゃないですよ。)弱点は変換後を忘れちゃうと再生成がめんどくさいことですかね。
Re:パスワードのモトを書いてます。 (スコア:2)
私も長めのフレーズを「俺ルール」で変換して生成しています。
変換の際には複数ステップを踏むことで入力フレーズや変換手順を
簡単には類推されないようにしています。
・IPアドレスとマシン名から「とある数値」を生成
・「とある数値」を「とある資料」を使って入力フレーズに変換
・入力フレーズと「俺の脳内フレーズ」を結合し
・「あるルール」で文字を取り出し
・可読な文字列になるよう並べ換え
・特定の文字を記号に置換して
・打ちやすくなるように並べかえて
・さらに乱雑になるように並べ換える
手順は多いですがそれぞれの変換ルールは単純なので手作業で変換できます。
IPアドレスと「とある資料」と紙があればパスワードが生成できます。
「とある資料」はネットがあれば(おそらく未来永劫にわたって)入手できます。
Re:パスワードのモトを書いてます。 (スコア:1)
これに近いかな。
基となるベース文字列を決めておいて(これは人から見るとランダムっぽい文字列)、それにアカウントを作るサービス名やサイト名を表す数文字を用いて「ある変換」を施す。私の変換方式は作業が脳内で完結する程度のものです。
これにより、パスワードは殆どが各々独自の違った文字列になり、1つのパスワードを知られても他のサービスアカウントのパスワードを簡単に類推することは出来ません。また、メモ等の記録を残さなくとも、サービス名などから簡易にパスワードを思い出す(というか再生成する)ことが出来ます。
Re: (スコア:0)
例えば
匿名@ルート・カレント's password: 屁タレ
とかこんなような
パスワードのみ紙っていいのか (スコア:2)
結局管理ソフトに保存して、紙(もしくは記憶)には管理ソフトのパス書くのが比較的マシなんじゃないかなあ。
パスワードのみ紙に書いて財布に入れておく (スコア:2)
これ実際にやっています。
使用用途はオンラインゲームのパスワードですが・・・
コンピュータウィルスによるアカウントハッキングが多いゲームなので、
パソコン内にテキストファイル等でパスワードを残すという事は考えられません。
銀行、クレジットカードなどの物はそれぞれ別々のパスワードを
十数桁以上のランダムな、大文字、小文字英数、記号入りを暗記しています。
(銀行やカード会社は出来る限り、一社に絞るのも大事です)
もし、コンピュータウィルスなどで流出してしまったら、大変な事になるので、
これは忘れた場合は銀行やカード会社に電話等の対応で仕方がないでしょう。
あと、一般的なWebサイトのパスワードはAI Roboform [roboform.com]の有償版に保存しています。
IBM! IBM! 今はLenovoだけど... (スコア:2, 参考になる)
指紋認証とパスワード管理とがセットになっている、Thinkvantage Client Security Solution [ibm.com]を利用しています。
無償ですし。
あえてノーガード戦法 (スコア:2, 参考になる)
Web系のIDやパスワードは忘れたら登録しておいたメールアドレス宛に即時再発行が出来るものとかが多いので、そういうのは片端から毎回ランダムパスワードを生成したのを入れて次に使う時には再発行ですね。
どうしても憶えておかなければならない最小限を除いて、パスワードは「憶えない」「管理しない」というノーガード戦法を採用しております。
いろいろやって、これに落ち着きました。
ラベルライターを使います (スコア:2)
ADHDで物覚えが悪いので見やすい場所にパスワードがあると助かります。
ただ…外に出るとすっかり忘れてしまいますが。
強度別に使い分け (スコア:1, 参考になる)
中強度:低強度の単語と数字の組み合わせ。
高強度:アルゴリズムを固定して、引数をメモに残す。
Re: (スコア:0)
本当は覚えやすいパスフレーズがいいのだけど、それがサポートされない場合の補完事項
javascriptでもなんでもいいので自分のアクセス可能なマシンローカルで実行可能なファイルを準備(javascriptだとブラウザで今のアドレスを使って作れるので便利)
そこにパスフレーズと対象Webページアドレスを入れると適度にマゼマゼ(hashで32-64bit位の値を作る)したn文字パスを返すコードを表示
ってのをn文字パスサイト向けに作って使っています
あとはお金が絡まないサイトは前部一緒でハックされたら捨てる気持ちでつかっています
#/.Jは捨てる対象w
Re:強度別に使い分け (スコア:1)
似たようなことをやってますね。
私の場合、URLそのままではなく、そのサービスを簡潔に表す文字列を使ってますが、
「そのサービスを表す文字列+秘密のパスフレーズ」をMD5して Base64 encodeし、
その冒頭n文字を取得(ただし、+と/は除く)って感じ。
そのサイトのURLをそのまま使わないのは、URLが変更される可能性があるから。
ただし、たまに「そのサービスを表す文字列」を忘れたりすることがあるので、
確認用に、生成されたパスワードの先頭2文字はメモに残してます。
Re:強度別に使い分け (スコア:1)
私もほとんど同じです。
# URL が変更されてログインできなくなった経験もあります…
秘密のパスフレーズ部分はランダムに生成して、 指が覚えるまでは、 SSH 秘密鍵の復号用のパスフレーズや、 一般ユーザのログインに使ったりします。
1password + DropBox これ最強 (スコア:1, 参考になる)
もうほとんど T/O という感じだが、やっぱ、これしかない。Safari, Firefox (ほかにも Camino とか…)で使えるし、Dropbox を入れればほかのコンピュータとでも同期できる。iPhone だって 1password app あるし。むかしは僕も、こういうパスワード記憶ツールは邪道だと思っていた時期もありました。でもね、やっぱし使い始めると、もうだめ。しかもセキュアだし。
Windows の人はきっと誰かが教えてくれるよ!
Re:1password + DropBox これ最強 (スコア:2, 参考になる)
似たようなものなのですが
各種パスワード = Dropbox + KeePass Password Safeのイメージ(プライベートのところ)
ブラウザのパスワード = 上記で管理しつつ、FirefoxのパスワードをSecure Loginプラグインで隠蔽しつつXmarksで同期としています。
正直Firefoxがまだ安全とはいえない状態なのですが、まあこれはこれで
# 量が多すぎて、外部ツールだと手間がかかりすぎる(+移行しきってない)、という理由で
## プロファイルの同期でも結局ノートもってかれたら同じかなぁとかも思ったので
# KeePass内の情報は一応AES相当のはず...
M-FalconSky (暑いか寒い)
Keychains Access + 1password + Mobile Me (スコア:2)
私の場合、この三つの組み合せでFAな気がします。Macの場合ですが。
幾つかのマスターパスワードさえ覚えていれば、後は管理含めてMacに任せておけばおk。
インストールディスクでパスワードをリセットしても、Keychains Accessがリセットされちゃうらしいので、
かなり安全かなぁ...。
Re: (スコア:0)
Firefoxではlastpass [lastpass.com]ですね。サーバーには暗号データしか保存されてないそうだし、基本的に暗号済みDBはローカルに存在するので安心。他のブラウザでも使えるそうだけど試したことはない。
lastpassを100%信用してるわけじゃないので、最重要パスワードはkeepassへ、Webで使う割とどうでもいいパスワードはlastpassという感じで使い分け
Re:1password + DropBox これ最強 (スコア:2, 参考になる)
一方でAndroidにはKeepassDroid [keepassdroid.com]があるので、データファイルのやりとりさえ解決すればほぼ同じUIで管理できます。
AndroidにDropBoxクライアントがあればなあ。
Re:1password + DropBox これ最強 (スコア:1)
ほぼ同じ構成ですが、SugarSyncをオンラインストレージに使ってます。
Android用クライアントもあるので便利ですよ
#keepassの2.0フォーマット対応してくれないかなぁ
自宅のPC (スコア:1, 興味深い)
自宅のPCをクラックされるよりクリティカルなパスワードなんて持ってませんし。
Re: (スコア:0)
これに一番近いかな。
https + 個人認証 でサイトを立てて
BASIC認証(気休め)して
家の自分専用鯖にメモしてある。
# 昔Digest認証でcgiが走らないって話で
# BASICにしたんだけど、実はIEの解釈が悪いせいだったらしく
# 今のFirefoxならDigest認証の方が良いらしい。
## DoCoMoから使えるか確認してOKなら移項しようかな
秘密鍵と共通鍵で運用してます (スコア:1, 参考になる)
パスワード2種類を組み合わせて運用してます。
脳内に保存する共通鍵1つと、サービスごとに個別鍵を考えて、個別鍵のみ紙に記録しています。
実際に入力するときは二つをつなげて。
手帳の個別鍵を見られても脳内の秘密鍵さえバレなければ問題ないです。
万が一秘密鍵がバレたとしても秘密鍵部分さえ変更すれば共通鍵はそのまま使いまわせます。
財布にメモを入れるっていうのと似てるけど (スコア:1)
ケータイ自体にPWかけられるし、財布と同じくらい肌身離さず持ってるし。
Re:財布にメモを入れるっていうのと似てるけど (スコア:1)
webメールにログオンできなくなりました。orz
水や停電にも耐えられる紙媒体は強いと思った。
適当な式で計算 (スコア:1)
以下のような計算でサービスごとのパスワードを作っています。 (実際にはもうちょっと複雑なことをしています)
英数字しか受けつけないとか N 文字までしか受けつけないアホなサービスが多いので、 英数字以外を除去して最初の 12 文字くらいを利用しています。
RoboForm (スコア:1)
例えば銀行系とか支店番号、口座番号、暗証番号、ログインID、パスワードと1ページ内で複数文字列が絡んでくるので
単純にIDとパスワードを1対の組み合わせでしか保存出来ないリマインダだと対応出来ないんですよね
で、RoboForm側は20文字のマスターパスワードかけてAESで暗号化。RoboFormOnlineにもバックアップ
肝心のマスターパスワードは4文字1フレーズで10個程度を適当に順番変えつつ運用してます
一気に20文字とかだと覚えられなくても4文字ずつ小分けにすると意外とスルリと頭に入ります
個人のはまだよいんですが (スコア:1)
個人管理のものはもう大体これでいいなという方法があるんですけど、組織で管理するパスワードがいまだにどうにもこうにもよい方法が見つかりません。
覚えてもらおうと思うと変更しづらいものになります。
覚えることは放棄して基本完全ランダムで生成してますが、時間制限のあるなかでトラブルシュートする場面なんかだとパスワード入力画面になるたびに機器設置の担当さんからの視線が痛かったりすることもあったりなかったり。
みんな賢いんだ (スコア:1)
mkpasswdコマンドで生成したものをいくつか使いまわしています。
スラド -> 1つめ、銀行 -> 2 つめ
みたいにして、数週間ごとにローテーション。機会があるごとに生成しなおし。
対応関係を忘れても覚えてるものをかたっぱしから入れるとなんとかなります。
# いろいろ邪道なのかなあ。
紙と鉛筆 (スコア:1)
パスワードは乱数生成した文字列に"il1oO0"を加えて20文字程度にしてありますが…
でもセキュリティは万全です。わたしの書いた文字を読めるのは、わたしだけですから。
notice : I ignore an anonymous contribution.
月に一度パスワード変更が求められる場合 (スコア:1)
月に一度パスワード変更が求められる場合は、
「睦月」「如月」「弥生」……
を元にした略号を前か後に付けたりとか。
#01, 02, 03…と変えると、システムによっては「一文字だけの変更は受け付けない」なんて事もあるので
ハイバネーション(=冬眠)中。 押井徳馬(・(T)・)
森の中に隠す (スコア:0)
20個の中の、その一部が実際のパスなんですよ。
縦読みか斜め読みか、逆読みか横ずらしか、はたまた最後だけ入れ替えるか
上下のジグザグ読みかは言えませんけど。
#お分かりでしょうが、上記以外かもしれません(w
Re:森の中に隠す (スコア:2, すばらしい洞察)
ダミーのユーザを登録して, /etc/passwd の中とか...
Re:森の中に隠す (スコア:1)
MD5 だから逆演算できない…
Re:森の中に隠す (スコア:1)
堂々と貼ってある‥付箋紙にセロテープまでつけて貼ってあるのがありました。
某社の基幹システムでorz
基本、外では繋がない (スコア:0)
最近ネットブック買ったけど、そちらでは重要サイトへ繋がないようにしています。
(セキュリティ面でも不安だしね)
どうしても繋ぎたい場合は、そのサイトのパスだけ自力で覚えておきます。
間違ってもPC内には記憶させない方向で。
#だから文字通りAnonymous Coward(匿名の臆病者)。
ただの紙じゃなく (スコア:0)
スパイメモの水に溶ける紙に書いておく。
Re:ただの紙じゃなく (スコア:1)
Re:ただの紙じゃなく (スコア:1)
大を食べて記憶を戻すんですね?
大の話題とは変わるけど、
私の場合、携帯電話のメモ機能に覚えさせてました。
ある日携帯がお亡くなりになって悲惨な目にあいました。
俺の場合は (スコア:0)
ID Manager [woodensoldier.info]を使っています。
>持ち運びしやすく
さらにUSBメモリにこのソフトを入れて利用
>万が一無くしたとしても安全
起動にパスワード設定できます。
ユーザも複数作成できるのでダミーユーザをいくつも作っておいてどれが本物かわからなくすると言うこともできる。
後このソフトの便利なところはFTPを使ってデータをやりとりできること。
ブラインドタッチ覚えている人専用 (スコア:0)
で、登録・入力時にホームポジションを上や右や左に一個ずらして入力します。
入力場面に応じて、どっち方向に一個ずらしたかだけ覚えていれば指が勝手に入力してくれます
Re: (スコア:0)
自分のCD棚に公然と置かれている (スコア:0)
そのCDだというコトは自分以外誰も知らなければOK。
クラシックなら曲の順番だけでなく楽章やケッヘル番号など数字もあるので便利。
間違えないパスワードは日本語規則に順ずる (スコア:0)
自分の名前と対象のサイト名またはシステム名を固定規則で手動変換生成してます
間違えることもないし便利ではあるんだけど、強度はあまりないかもしれない
パスワードを破ろうとする人が日本語を理解できるなら推測できるパスワードって意外と多い気がする
部門名 (スコア:0)
複数のアカウントを完璧に別個のパスワードで運用するというもの負担が大きいと正直思うわけです。
逆に、複数のリソースに対し一個のアカウントで透過的にアクセス出来ますなんて場合は
ひとつのパスワードが破られた時点で広範囲に悪影響が及ぶわけですし
なんか、ここらへんの頃合がいま一つピンと来ないかなーと。
Re:部門名 (スコア:1)
先日のHotmailやGmailでの漏洩の話も、パスワードが同じだったことが原因の一部だと指摘されてたような(ソース失念)
まあ、ツールの補佐がないとほぼ不可能だとは思うのですが、昨今のサービスの隆盛を考えると、同じIDで別サービスにログインされるのもかなり問題ありそうだし
M-FalconSky (暑いか寒い)
衝突 (スコア:1)
そっかー、珍しい名前(本名も筆名も)なので滅多に衝突しなかったからあんまり深刻に考えたことなかったなぁ。
#某社でメールアドレスを申請したら衝突して、へー同じ姓の人が…
#…と思ったらK,Andoさんがいたということはあったが、フルネームにするとまず衝突したことがなかった。
Re:部門名 (スコア:1)
中に悪い人が居た場合に、芋づる式に悲惨なことになりませんか?
Re:待て待て! これは新手のフィッシングじゃないか? (スコア:2)
という訳でもあるまい。
Re:トラップ (スコア:1)
「やたっハックせーこー!」とか有頂天になってクズデータを閲覧してるバカの姿を想像するだけで、幸せになれます。
Re:記録に残らない、忘れない (スコア:1)
恥ずかしいモノは覚えやすいと思う.かつ,恥ずかしくて人に話さないから秘密が守られる.
西暦のゴロ合わせだって,公の場で言えないくらいな方が覚えやすかったし.