多くの人が「パスワードの管理疲れ」を体験している 58
ストーリー by hylom
新たなストレス源 部門より
新たなストレス源 部門より
DDSによるアンケート調査によると、多くの人がIDやパスワードのログインや管理に『疲れた』と感じているという(INTERNET Watch)。
調査対象は20~50代の400人だそうで、そのうち73.8%が「IDやパスワードのログインや管理に『疲れた』と感じることはありますか?」という問いに「はい」と回答したという。また、93.9%が自分自身のID・パスワードが分からなくなったことがあるとのことで、パスワード管理方法としては60.2%が「記憶している」、39.8%が「手帳やノートにメモしている」、25.7%が「パソコンやスマートフォンにメモとして保存している」となっている。なお、パスワード管理ソフトを使っていると答えたのは9.7%だったそうだ。
さらに、79.9%が「特定のID・パスワードを複数のサイトやアプリで使い回している」そうで、多くの人がパスワード管理に難儀していることが分かる調査結果となっている。
ミルパス導入からは特に感じない (スコア:5, 参考になる)
PCやスマートフォン用のパスワード管理ソフトよりも使い勝手が悪い点はありますが、よく考えるとそこが”セキュリティの甘さ”に繋がらないようにするためだと納得できる物です。
当初は持ち歩きを忘れることもありましたが、今は慣れてしまいスマートフォンや歩数計と同様に忘れることはほぼありません。
#あと、カタログデータだといまいち電池が持たないように見えますが、参照頻度が想定値より少ないからか1年近くでようやく電池交換の警告が使用時毎回出るようになりました。
「ミルパス」より「要らなくなったスマホ」がお勧め (スコア:3)
ミルパスの仕様 [kingjim.co.jp]を見たところ、色々と問題があるので、要らなくなったスマホ(ネットに繋がないスマホ)でのパスワード管理の方が良いと思います。
データ入力・管理・microSDへのバックアップなど、全てがインターネットに接続していないスマホで完結しますので、マルウェアによる漏えいの危険が一切ありません。端末自体の悪用についても暗号化で防げます。
普段使わないスマホが無い人でも、ミルパスを買うより安く中古で買えます(仮に中古で買ったスマホにマルウェアが入っていても、パスワード記録以降インターネットに接続しなければ漏えいの危険はありません)。また、Android であれば、アプリのアップデートなども、microSDカード経由で行えますので、その際に情報漏えいする心配もありません。
以下、ミルパスの問題点を挙げ、スマホと比較してみます。
.
.
Re: (スコア:0)
すてまおつ
Re: (スコア:0)
広告まるだしだから、ステマじゃないよw
Re: (スコア:0)
安全性は確保する前提として、
実際の手間の大小よりも、いかに自分がストレスを感じないかという点が重要だろうね。
「疲れたか」と聞かれれば、「はい」と答える人は多いはず (スコア:4, 参考になる)
パスワード管理が好きな人はいないでしょうから、「疲れたと感じることはありますか?」と聞かれたら、多くの人は「はい」と答えるでしょう。これをもって「“パスワード疲れ”が進んでいる」とするのは無理があるのではないでしょうか。
DDSは指紋認証システムなどを手掛ける会社なので、アンケートは「やっぱりパスワードはだめだよね」と思わせるような内容になっていると感じました。
「マジカルナンバー 7」も、ここで引用するのは違和感があります。「覚えられるパスワード」の数として、マジカルナンバー 7を挙げるのは適切なのでしょうか。
別のアンケート調査では、「2~3個(組)」という結果が多かったと記憶しております。
(参考記事)あなたはパスワードをいくつ覚えていますか [nikkeibp.co.jp]
参考記事によれば、IPAの調査では3組が最多で2組が次点、NRIの調査では2~3組が過半数だったようです。個人的には、「7組」よりも、「2~3組」の方が多数のように思います。
若者のパスワード離れ (スコア:3, おもしろおかしい)
積極性がない、草食化、幼稚になった、甘えているだけ
Re:若者のパスワード離れ (スコア:2, おもしろおかしい)
世の肉食獣はパスワードなんぞ使わんと思いますが。
(トラとかライオンとか)
Re: (スコア:0)
むしろ、パスワードも覚えられないような奴は老害とかって言われそう。
Re: (スコア:0)
覚えてなんとかしようとするほうが老害っぽいけどな。
最小パスワード長が短すぎるシステムが未だに生まれる理由。
新たなストレス源 (スコア:2)
そう新しいとも思えません。
自分ではできないことをユーザーに強制するな (スコア:2, 興味深い)
どっかの銀行がオンラインバンキングのパスワードを「ログアウトするたびに新しいものに変更しろ」とユーザーに強制してたけどさ
お前の銀行の行員は毎日パスワードを変えてるのか?利用してる全てのサービスで。
こーいう「自分ではやらないけど責任逃れのためにユーザーに無理難題を押し付けるメソッド」ホント嫌いだわ
Re: (スコア:0)
銀行自身は生体認証とか併用してるんじゃないの
Re:自分ではできないことをユーザーに強制するな (スコア:1)
パスワードと他の認証の組み合わせとか複数の手段での認証に切り替えたらいいのにね。
二段階認証にするだけで大分違うでしょう。
そうなるとまたそれがめんどくさくて新たなストレス源になるかもしれない・・・
#ネットバンキングはまだ怖くて使えない。
Re: (スコア:0)
> こーいう「自分ではやらないけど責任逃れのためにユーザーに無理難題を押し付けるメソッド」ホント嫌いだわ
規約を読ませて「同意します」にチェックさせるやつとかね。
ほとんどは当たり前のこととかクレームつけたがりユーザ対策なんだろうけど、たまにとんでもない条項が入ってたりするかもしれない。
Re: (スコア:0)
規約を表示もせずに、サービス使ったら同意したことと見なすからね、っていうよりマシじゃないかな。
どうせ読まずに同意するからどっちもどっちだけど。
Re: (スコア:0)
あぁ、「無料Wi-Fiと引き換えに「第1子捧げます」、英実験で同意続々」 [afpbb.com]とかありましたねぇ。
Re: (スコア:0)
> 規約を読ませて「同意します」にチェックさせるやつとかね。
> ほとんどは当たり前のこととかクレームつけたがりユーザ対策なんだろうけど、たまにとんでもない条項が入ってたりするかもしれない。
もはや、ここまでくるとおかしいとしか思わない。
規約に従う人のみ使わせるのは当然だろう?
ほんとじゃー使うなって思った。
Re: (スコア:0)
お前が/.jを使わず、お前が/.jでわめかなければOK。
Re: (スコア:0)
> お前が/.jを使わず、お前が/.jでわめかなければOK。
私は /.J 嫌いじゃないので、使い続けますよww
最近は・・・ (スコア:1)
googleアカウント等で登録出来るタイプのはまだギリギリ許せる感じではある・・
Re:最近は・・・ (スコア:3, 参考になる)
私はむしろ一つのアカウントがBANされるだけで共連れを喰らうのが嫌ですね。
googleなんて何かあった時の窓口もよく判らないし。
googleやFacebookのアカウント認証が出来ても、選択可能な限りID/Passwordは分ける事にしています。
どうせ鍵長を長くした乱数パスワードなんて憶えきれない事を思えば、
分けようが一緒にしようが手間なんて大して変わりませんし。
Re: (スコア:0)
自分もできるだけ分けるようにしてる。
下手にGoogleやFacebookのアカウント情報を渡したくないしね。
でも、認証という意味ではちゃんとSSL使って2段階認証まであるそれらのアカウントを使ったほうが安全ではあるんだろうな。
一般のサイトだと、ログインにSSLがないこともよくあるし。スラドとか。
サイトの内容的にSSLなくてもいいや、っていうところもあるけどさ。
Re: (スコア:0)
> 下手にGoogleやFacebookのアカウント情報を渡したくないしね。
意味不明。
GoogleやFacebookのアカウント情報を渡るわけないだろ!w
Re:最近は・・・ (スコア:2)
あるサービスに登録するときに、IDがメールアドレスだからgmailのアドレス使うことがよくあると思いますが、パスワードまでgmailと同じものを使ってたら、そのサービスから漏洩したら、gmailのアカウント情報が乗っ取られますよね?
もとのコメントはそういう話だと思いますけど。
特にマイナーなサービスへの登録なら、google、apple ID、Facebook、amazonなんかとはID/パスワードが絶対同じにならないように注意しないといけないってことです。
Re: (スコア:0)
> 自分もできるだけ分けるようにしてる。
> 下手にGoogleやFacebookのアカウント情報を渡したくないしね。
コンビニのATMを利用すると銀行のお金コンビニに盗まれちゃうって心配レベル
コンビニATMは危険です (スコア:4, 興味深い)
「コンビニに盗まれる」訳ではありませんが……。
コンビニATM は、日本国内でも、不正に設置されたスキミング機(小型読取装置) [sevenbank.co.jp] による被害が多発していますから、やむを得ない場合を除いて使わない方が良いと思いますよ。一応防犯カメラはありますが、常時監視しているわけでもなく脆弱です。コンビニATMを使う場合には、利用履歴を定期的に確認すべきです(不正利用から30日~60日経過すると、保証も受けられません)。不正なスキミング装置や暗証番号入力盗撮カメラなどが設置されていないか、取引明細ボックスの中・下部などを含めて慎重にチェックすることである程度悪用を防げますが、後ろに待っている人をイラつかせることになるし、逆に不審者として通報されかねません。
銀行の支店のATMは、銀行員が定期的にチェックしていますし(特に営業時間内)、防犯カメラの監視も厳しいので、このようなスキミング被害の発生は殆どありません(コンビニと比べるとごくわずか)。また、都市圏であれば生体認証に対応していますから、生体認証を必須にすれば仮に磁気情報がスキミングされて暗証番号が盗撮されても不正引き出しが不可能となります。
かといって全くコンビニATMが使えないのは不便なので、私の場合、日常決済によく使う2行のみでコンビニATMが使える設定(磁気ストライプ+暗証番号による取引、ICチップ+暗証番号による取引それぞれの限度額10万円/日)にして、それ以外の銀行では磁気ストライプ+暗証番号による取引、ICチップ+暗証番号による取引の限度額を0万円にして無効化しています。一週間に一回はネットバンキングで利用履歴をチェックしているので、これで、悪用された場合の被害額が最大でも70万円に限定されます。逆に、ICチップ+生体認証(指静脈もしくは掌静脈認証)+暗証番号による取引が悪用されたケース(恐喝を除く)は1件も無いですから、そっちの限度額は500万円~1000万円/日にしています。
主要な銀行は、磁気ストライプ+暗証番号による取引、ICチップ+暗証番号による取引、ICチップ+生体認証(指静脈もしくは掌静脈認証)+暗証番号による取引、のそれぞれで取引限度額を設定できるので、(みずほ銀行 [mizuhobank.co.jp])(三菱東京UFJ銀行 [bk.mufg.jp])、デフォルトのままにしている人は、それぞれのライフスタイルにあった金額に変更しておいた方が良いでしょう。
定期的な取引履歴チェックが面倒で、コンビニATMをたまに(数か月に一回とか)しか使わない人は、コンビニATMを使った後(数日以内)に、支店で暗証番号を変えるというのも良いかもしれません。
Re: (スコア:0)
常にランダム文字列をパスワードに設定すればOK。
次に使いたくなった時はパスワードをリセットしてから使う。
そういうどうでもいいサービスはたいてい
リセットしたパスワードをメールで送ってくれるよね。
Re:最近は・・・ (スコア:2)
自分はそういうどうでもいいサービスは、漏れてもいいパスワードを使いまわしてますね。
でも確かにランダムでもいいかもしれない。ブラウザに覚えさせれば良いし、わからなくなったらリセットでいいから。
Re: (スコア:0)
本当にどうでもいいサービスはBugMeNot使って登録すらしない
Re: (スコア:0)
最近は大体、 (date; ls -l) | md5sum で出てきた値をパスワードにして、そのパスワードを自分宛てにメールで送ってるわ。。。
Re: (スコア:0)
>googleアカウント等で登録出来るタイプのはまだギリギリ許せる感じではある・・
しめしめ(G)
作り方 (スコア:1)
経験上、定期変更は絶対にポストイットに書くのが出てくるので
サイトのURLのうち前の数文字取った残りと固定した6-7文字の英文字+数字で
15-20文字程度のパスワードを生成しています。(全部数字だと生年月日書くバカが出ますから。)
これだと頭に入りますし、サイト生成分はメモ帳に書いてもオッケーです。
実害がないところは漏れてもいいパスワードの使いまわし。
IDとPass要求するサイトがあまりにも多すぎ。金がらみならともかく
無償の会員とか。偽のサイトも増えてきましたね。Pass抜くために広告にまで。
Dosparaだとdoruparaやドスパラ情報局なんてのがSEOで上に来てますし。
.gtld増やすとアフィや詐欺サイトが増えるな。
アンケートって (スコア:0)
パスワード管理数が何個とか、どこにメモしてるとか、
何をもらったらこんなアンケートに答えるのか、
それが一番興味がある。
Re: (スコア:0)
Tolunaならアンケートに答えたらポイントもらえて
たまったらアマゾンギフト券とかに交換してもらえる
Re: (スコア:0)
なにもほんとのことを答える必要はないわけで。
Re: (スコア:0)
スラッシュ国民投票が泣いてる…
Re: (スコア:0)
チョコレートバー一つでパスワードそのものまで [srad.jp]教えてくれますよ。
覚えるのがめんどくさくなったので (スコア:0)
覚えるのをやめた。
メールアドレスとパスワードの組み合わせが同じにならないようにドメインとマスターパスワードからハッシュ値を作るページを自宅サーバーに作って、コピペすることにした。
Re:覚えるのがめんどくさくなったので (スコア:1)
サーバー×んだら終了?
Re: (スコア:0)
そうだね。
一応ページのバックアップは取ってるけど、家ごと吹き飛んだらわからなくなるねw
でも、きっとその時は僕もこの世にはいない気がするの。
Re:覚えるのがめんどくさくなったので (スコア:1)
いっそ別拠点(別国?)でファイルごと二重化すれば安泰。
#ゆくゆくは第二のインターネットに(スレ違い
Re: (スコア:0)
サーバーに置くなら、パスワード生成はランダムな方がいい、
一意に生成されるロジックにするなら、一発スクリプトやアプリでいい(ネットから切り離す)、
と思う。
Re: (スコア:0)
ランダムに生成したところで、それを記憶するのが難しいほど数のサイトがあり、ブラウザにおぼえさせない場合どこかにメモる必要がある。(これをしたくない)
マスターパスワードはネット上を流れず、ストレージにも残らないので問題ない。(もっとも、家内LANの外からはほとんどアクセスしない。)
ページ自体も別のパスワードでロックされているので、検索エンジンにも拾われない。仮にパケットキャプチャしても見えるのはアルゴリズムだけ。
という考えからこうなりました。
Re: (スコア:0)
・複数のパスワードが必要(例えば証券のログインパスワードと取引パスワード)
・文字種指定がある
・文字数指定がある
・ハッシュがパスワードとして使えない文字列になった(例えばpasswordや12345678になった)
という場合に困りませんか?
Re: (スコア:0)
・パスワードの変更を強制された
も追加
Re: (スコア:0)
ぐぬぬ。
それは考えてなかったかも。
この方法のパスワード使ってるサイトでは今のところないですが、流出したら再設定を強いられるでしょうね。
その場合は、マスターパスワード2(仮)でそのサイトだけ新たなパスワードを作るか、全サイトのパスワードを新マスターパスワードか新アルゴリズムで再生成しなおすことになりますかね...
毎月強いられるようなところがあったら、そのサイトは「脳内マスターパスワード+月年」とかをマスターパスワードにするぐらいでしょうか...(そのこと自体を忘れてロックされそう...)
Re: (スコア:0)
困りましたw
文字種別はチェックボックスで記号の有無等を選べるようにしてあります。
文字数は長めに生成して前から必要な桁数を採用しています。
さすがに意味のあるパターンが出てきたことは今のところないです...
出てきたら、アルゴリズムの変更を考えたいと思います...
複数パスワードが必要なサイトは今のところ銀行だけですが、そちらはIDがメールアドレスじゃないので、他で漏れても問題ないと判断して対象にしてません。(2個目のパスワードは乱数表かワンタイムパスワードなので、仮に破られてもしょぼい残高が見えるだけですので)
入力する項目は2つあるので、マスターパスワード2(仮)を用意してあげれば2つパスワードを用意することはできると思います。マスターパスワードがそのサイトでは2つあるというのを忘れなければ。
何かいいデバイスがほしい (スコア:0)
パスワード管理ソフトは信用できないし、手入力するのは面倒くさい。
USBやBluetoothでキーボードとして接続され、保存しているパスワードを入力してくれるようなデバイスはないだろうか。
Re:何かいいデバイスがほしい (スコア:1)
そして接続された瞬間、それらデバイスに保存されているデータを
マスターパスワードごと送信されてしまう訳ですね?