hylomによる
2009年11月13日 13時52分の掲載
最もよろしくないソリューション「全部同じパスワードにする」部門より。
最もよろしくないソリューション「全部同じパスワードにする」部門より。
あるAnonymous Coward 曰く、
本家「Best Tool For Remembering Passwords?」より。
最近自分のセキュリティに関して再考している。万が一ノートPCが盗まれた場合のことを考えると、Firefoxに自分の銀行サイトなどのパスワードを保存しておくのは良案とは思えない。またパスワードを全て覚えておくというのは、最近の記憶力の衰えた自分の脳みそにはなかなか厳しいのが現状だ。パスワード管理ツールの導入も検討したが、あまりに多くのツールが出回っていて正直把握しきれない。Firefoxのアドオンの「Magic Password Generator」などは良さそうだが、アドオンを入れていないコンピュータを使うこともあるかもしれないし、Firefoxで使う以外のパスワードも管理したい。
出来ればアプリケーションやブラウザ、また端末依存でなく、持ち運びしやすく、万が一無くしたとしても安全なものというのが理想なのだが、/.erはどんなツールをお勧めするだろうか?
本家/.では「パスワードのみ紙に書いて財布に入れておく」というアドバイスが5点を獲得している。パスワードのみ書き留めておき、「何の」パスワードかは頭に入れておけばいいということらしい。また、仕事柄多数のパスワードを管理している/.erはPassword Safeが非常に便利と勧めている。
/.J諸兄方はどんなパスワード管理の秘策をお持ちだろうか?
|
|
パスワードのモトを書いてます。 (スコア:3, 興味深い)
「ある変換」は簡単な文字列変換ですが、自分で決めたルールに従っています。(ROT13なんかじゃないですよ。)弱点は変換後を忘れちゃうと再生成がめんどくさいことですかね。
コメントを書く
Re:パスワードのモトを書いてます。 (スコア:2)
私も長めのフレーズを「俺ルール」で変換して生成しています。
変換の際には複数ステップを踏むことで入力フレーズや変換手順を
簡単には類推されないようにしています。
・IPアドレスとマシン名から「とある数値」を生成
・「とある数値」を「とある資料」を使って入力フレーズに変換
・入力フレーズと「俺の脳内フレーズ」を結合し
・「あるルール」で文字を取り出し
・可読な文字列になるよう並べ換え
・特定の文字を記号に置換して
・打ちやすくなるように並べかえて
・さらに乱雑になるように並べ換える
手順は多いですがそれぞれの変換ルールは単純なので手作業で変換できます。
IPアドレスと「とある資料」と紙があればパスワードが生成できます。
「とある資料」はネットがあれば(おそらく未来永劫にわたって)入手できます。
コメントを書く
親コメント
パスワードのみ紙っていいのか (スコア:2)
結局管理ソフトに保存して、紙(もしくは記憶)には管理ソフトのパス書くのが比較的マシなんじゃないかなあ。
コメントを書く
パスワードのみ紙に書いて財布に入れておく (スコア:2)
これ実際にやっています。
使用用途はオンラインゲームのパスワードですが・・・
コンピュータウィルスによるアカウントハッキングが多いゲームなので、
パソコン内にテキストファイル等でパスワードを残すという事は考えられません。
銀行、クレジットカードなどの物はそれぞれ別々のパスワードを
十数桁以上のランダムな、大文字、小文字英数、記号入りを暗記しています。
(銀行やカード会社は出来る限り、一社に絞るのも大事です)
もし、コンピュータウィルスなどで流出してしまったら、大変な事になるので、
これは忘れた場合は銀行やカード会社に電話等の対応で仕方がないでしょう。
あと、一般的なWebサイトのパスワードはAI Roboform [roboform.com]の有償版に保存しています。
コメントを書く
IBM! IBM! 今はLenovoだけど... (スコア:2, 参考になる)
指紋認証とパスワード管理とがセットになっている、Thinkvantage Client Security Solution [ibm.com]を利用しています。
無償ですし。
コメントを書く
あえてノーガード戦法 (スコア:2, 参考になる)
Web系のIDやパスワードは忘れたら登録しておいたメールアドレス宛に即時再発行が出来るものとかが多いので、そういうのは片端から毎回ランダムパスワードを生成したのを入れて次に使う時には再発行ですね。
どうしても憶えておかなければならない最小限を除いて、パスワードは「憶えない」「管理しない」というノーガード戦法を採用しております。
いろいろやって、これに落ち着きました。
コメントを書く
ラベルライターを使います (スコア:2)
ADHDで物覚えが悪いので見やすい場所にパスワードがあると助かります。
ただ…外に出るとすっかり忘れてしまいますが。
コメントを書く
強度別に使い分け (スコア:1, 参考になる)
中強度:低強度の単語と数字の組み合わせ。
高強度:アルゴリズムを固定して、引数をメモに残す。
コメントを書く
1password + DropBox これ最強 (スコア:1, 参考になる)
もうほとんど T/O という感じだが、やっぱ、これしかない。Safari, Firefox (ほかにも Camino とか…)で使えるし、Dropbox を入れればほかのコンピュータとでも同期できる。iPhone だって 1password app あるし。むかしは僕も、こういうパスワード記憶ツールは邪道だと思っていた時期もありました。でもね、やっぱし使い始めると、もうだめ。しかもセキュアだし。
Windows の人はきっと誰かが教えてくれるよ!
コメントを書く
Re:1password + DropBox これ最強 (スコア:2, 参考になる)
似たようなものなのですが
各種パスワード = Dropbox + KeePass Password Safeのイメージ(プライベートのところ)
ブラウザのパスワード = 上記で管理しつつ、FirefoxのパスワードをSecure Loginプラグインで隠蔽しつつXmarksで同期としています。
正直Firefoxがまだ安全とはいえない状態なのですが、まあこれはこれで
# 量が多すぎて、外部ツールだと手間がかかりすぎる(+移行しきってない)、という理由で
## プロファイルの同期でも結局ノートもってかれたら同じかなぁとかも思ったので
# KeePass内の情報は一応AES相当のはず...
BOINC説明ページ(書きかけ) [wikispaces.com]
コメントを書く
親コメント
Keychains Access + 1password + Mobile Me (スコア:2)
私の場合、この三つの組み合せでFAな気がします。Macの場合ですが。
幾つかのマスターパスワードさえ覚えていれば、後は管理含めてMacに任せておけばおk。
インストールディスクでパスワードをリセットしても、Keychains Accessがリセットされちゃうらしいので、
かなり安全かなぁ...。
コメントを書く
親コメント
Re:1password + DropBox これ最強 (スコア:2, 参考になる)
一方でAndroidにはKeepassDroid [keepassdroid.com]があるので、データファイルのやりとりさえ解決すればほぼ同じUIで管理できます。
AndroidにDropBoxクライアントがあればなあ。
コメントを書く
親コメント
自宅のPC (スコア:1, 興味深い)
自宅のPCをクラックされるよりクリティカルなパスワードなんて持ってませんし。
コメントを書く
秘密鍵と共通鍵で運用してます (スコア:1, 参考になる)
パスワード2種類を組み合わせて運用してます。
脳内に保存する共通鍵1つと、サービスごとに個別鍵を考えて、個別鍵のみ紙に記録しています。
実際に入力するときは二つをつなげて。
手帳の個別鍵を見られても脳内の秘密鍵さえバレなければ問題ないです。
万が一秘密鍵がバレたとしても秘密鍵部分さえ変更すれば共通鍵はそのまま使いまわせます。
コメントを書く
財布にメモを入れるっていうのと似てるけど (スコア:1)
ケータイ自体にPWかけられるし、財布と同じくらい肌身離さず持ってるし。
コメントを書く
適当な式で計算 (スコア:1)
以下のような計算でサービスごとのパスワードを作っています。 (実際にはもうちょっと複雑なことをしています)
英数字しか受けつけないとか N 文字までしか受けつけないアホなサービスが多いので、 英数字以外を除去して最初の 12 文字くらいを利用しています。
コメントを書く
RoboForm (スコア:1)
例えば銀行系とか支店番号、口座番号、暗証番号、ログインID、パスワードと1ページ内で複数文字列が絡んでくるので
単純にIDとパスワードを1対の組み合わせでしか保存出来ないリマインダだと対応出来ないんですよね
で、RoboForm側は20文字のマスターパスワードかけてAESで暗号化。RoboFormOnlineにもバックアップ
肝心のマスターパスワードは4文字1フレーズで10個程度を適当に順番変えつつ運用してます
一気に20文字とかだと覚えられなくても4文字ずつ小分けにすると意外とスルリと頭に入ります
コメントを書く
個人のはまだよいんですが (スコア:1)
個人管理のものはもう大体これでいいなという方法があるんですけど、組織で管理するパスワードがいまだにどうにもこうにもよい方法が見つかりません。
覚えてもらおうと思うと変更しづらいものになります。
覚えることは放棄して基本完全ランダムで生成してますが、時間制限のあるなかでトラブルシュートする場面なんかだとパスワード入力画面になるたびに機器設置の担当さんからの視線が痛かったりすることもあったりなかったり。
コメントを書く
みんな賢いんだ (スコア:1)
mkpasswdコマンドで生成したものをいくつか使いまわしています。
スラド -> 1つめ、銀行 -> 2 つめ
みたいにして、数週間ごとにローテーション。機会があるごとに生成しなおし。
対応関係を忘れても覚えてるものをかたっぱしから入れるとなんとかなります。
# いろいろ邪道なのかなあ。
コメントを書く
紙と鉛筆 (スコア:1)
パスワードは乱数生成した文字列に"il1oO0"を加えて20文字程度にしてありますが…
でもセキュリティは万全です。わたしの書いた文字を読めるのは、わたしだけですから。
notice : I ignore an anonymous contribution.
コメントを書く
月に一度パスワード変更が求められる場合 (スコア:1)
月に一度パスワード変更が求められる場合は、
「睦月」「如月」「弥生」……
を元にした略号を前か後に付けたりとか。
#01, 02, 03…と変えると、システムによっては「一文字だけの変更は受け付けない」なんて事もあるので
「愛」も「萌え」も定義は広い。 押井徳馬(・(T)・)
コメントを書く
Re:森の中に隠す (スコア:2, すばらしい洞察)
ダミーのユーザを登録して, /etc/passwd の中とか...
コメントを書く
親コメント
Re:部門名 (スコア:1)
先日のHotmailやGmailでの漏洩の話も、パスワードが同じだったことが原因の一部だと指摘されてたような(ソース失念)
まあ、ツールの補佐がないとほぼ不可能だとは思うのですが、昨今のサービスの隆盛を考えると、同じIDで別サービスにログインされるのもかなり問題ありそうだし
BOINC説明ページ(書きかけ) [wikispaces.com]
コメントを書く
親コメント
Re:ただの紙じゃなく (スコア:1)
コメントを書く
親コメント
Re:待て待て! これは新手のフィッシングじゃないか? (スコア:2)
という訳でもあるまい。
コメントを書く
親コメント
Re:部門名 (スコア:1)
中に悪い人が居た場合に、芋づる式に悲惨なことになりませんか?
コメントを書く
親コメント
Re:森の中に隠す (スコア:1)
堂々と貼ってある‥付箋紙にセロテープまでつけて貼ってあるのがありました。
某社の基幹システムでorz
コメントを書く
親コメント
Re:トラップ (スコア:1)
「やたっハックせーこー!」とか有頂天になってクズデータを閲覧してるバカの姿を想像するだけで、幸せになれます。
--------------------- TAMEIKIのcostは1luck ---------------------
コメントを書く
親コメント
Re:記録に残らない、忘れない (スコア:1)
恥ずかしいモノは覚えやすいと思う.かつ,恥ずかしくて人に話さないから秘密が守られる.
西暦のゴロ合わせだって,公の場で言えないくらいな方が覚えやすかったし.
コメントを書く
親コメント