パスワードを忘れた? アカウント作成
11912840 story
統計

多くの人が「パスワードの管理疲れ」を体験している 58

ストーリー by hylom
新たなストレス源 部門より

DDSによるアンケート調査によると、多くの人がIDやパスワードのログインや管理に『疲れた』と感じているという(INTERNET Watch)。

調査対象は20~50代の400人だそうで、そのうち73.8%が「IDやパスワードのログインや管理に『疲れた』と感じることはありますか?」という問いに「はい」と回答したという。また、93.9%が自分自身のID・パスワードが分からなくなったことがあるとのことで、パスワード管理方法としては60.2%が「記憶している」、39.8%が「手帳やノートにメモしている」、25.7%が「パソコンやスマートフォンにメモとして保存している」となっている。なお、パスワード管理ソフトを使っていると答えたのは9.7%だったそうだ。

さらに、79.9%が「特定のID・パスワードを複数のサイトやアプリで使い回している」そうで、多くの人がパスワード管理に難儀していることが分かる調査結果となっている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by aruefu (34582) on 2015年02月10日 16時05分 (#2758878) 日記
    Adobeのパスワードが漏れたあとにEvernoteから警告が来て以来、数種類のパス使い回しや類推されそうなのはいかんなと思いKingJIMのミルパスを導入して英大小数のランダム12桁パスワードでほとんどのサービスをユニークに設定やり直しました。
    PCやスマートフォン用のパスワード管理ソフトよりも使い勝手が悪い点はありますが、よく考えるとそこが”セキュリティの甘さ”に繋がらないようにするためだと納得できる物です。

    当初は持ち歩きを忘れることもありましたが、今は慣れてしまいスマートフォンや歩数計と同様に忘れることはほぼありません。

    #あと、カタログデータだといまいち電池が持たないように見えますが、参照頻度が想定値より少ないからか1年近くでようやく電池交換の警告が使用時毎回出るようになりました。
    • ミルパスの仕様 [kingjim.co.jp]を見たところ、色々と問題があるので、要らなくなったスマホ(ネットに繋がないスマホ)でのパスワード管理の方が良いと思います。

      データ入力・管理・microSDへのバックアップなど、全てがインターネットに接続していないスマホで完結しますので、マルウェアによる漏えいの危険が一切ありません。端末自体の悪用についても暗号化で防げます。

      普段使わないスマホが無い人でも、ミルパスを買うより安く中古で買えます(仮に中古で買ったスマホにマルウェアが入っていても、パスワード記録以降インターネットに接続しなければ漏えいの危険はありません)。また、Android であれば、アプリのアップデートなども、microSDカード経由で行えますので、その際に情報漏えいする心配もありません。

      以下、ミルパスの問題点を挙げ、スマホと比較してみます。

      マスターパスワードによる暗号が適切か不明
      使っている暗号アルゴリズム・強度が不明(非公開)なので、安全かどうかが分からない。
      ⇒スマホアプリならば、暗号アルゴリズム・強度が公開されていて、現実的な時間に解読が不可能であることが確認できるものがある。
      .
      漢字の入力がミルパス専用PCソフトでのみ可能
      パソコンに繋いでいる時にマルウェアによって漏えいする危険がある
      ⇒インターネットに接続しないスマホなら、漢字入力などもスマホで完結するので安全。文字入力の利便性もミルパスよりスマホの方が圧倒的に良い。
      .
      データが消失する危険が有る
      PCでのバックアップの展開にミルパス本体が必要なので、本体が入手困難になったときにデータ復元が不可能になる可能性有り。そもそも、端末紛失時に新しいミルパスを買えばそれに復元できるのかも書かれていない。
      ⇒インターネットに接続しないスマホなら、microSD に暗号化されたままパスワードデータをバックアップできるし、暗号アルゴリズムが公開されているものであれば、将来に渡って継続的に復号できることが保証される。
      親コメント
    • by Anonymous Coward

      すてまおつ

      • by Anonymous Coward

        広告まるだしだから、ステマじゃないよw

    • by Anonymous Coward

      安全性は確保する前提として、
      実際の手間の大小よりも、いかに自分がストレスを感じないかという点が重要だろうね。

  • パスワード管理が好きな人はいないでしょうから、「疲れたと感じることはありますか?」と聞かれたら、多くの人は「はい」と答えるでしょう。これをもって「“パスワード疲れ”が進んでいる」とするのは無理があるのではないでしょうか。

    DDSは指紋認証システムなどを手掛ける会社なので、アンケートは「やっぱりパスワードはだめだよね」と思わせるような内容になっていると感じました。

    「マジカルナンバー 7」も、ここで引用するのは違和感があります。「覚えられるパスワード」の数として、マジカルナンバー 7を挙げるのは適切なのでしょうか。

    別のアンケート調査では、「2~3個(組)」という結果が多かったと記憶しております。
    (参考記事)あなたはパスワードをいくつ覚えていますか [nikkeibp.co.jp]

    参考記事によれば、IPAの調査では3組が最多で2組が次点、NRIの調査では2~3組が過半数だったようです。個人的には、「7組」よりも、「2~3組」の方が多数のように思います。

  • 若者のパスワード離れ (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2015年02月10日 15時57分 (#2758876)

    積極性がない、草食化、幼稚になった、甘えているだけ

    • Re:若者のパスワード離れ (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2015年02月10日 17時04分 (#2758919)

      世の肉食獣はパスワードなんぞ使わんと思いますが。
      (トラとかライオンとか)

      親コメント
    • by Anonymous Coward

      むしろ、パスワードも覚えられないような奴は老害とかって言われそう。

      • by Anonymous Coward

        覚えてなんとかしようとするほうが老害っぽいけどな。
        最小パスワード長が短すぎるシステムが未だに生まれる理由。

  • by ymasa (31598) on 2015年02月10日 15時46分 (#2758866) 日記

    そう新しいとも思えません。

  • by Anonymous Coward on 2015年02月10日 15時48分 (#2758868)

    どっかの銀行がオンラインバンキングのパスワードを「ログアウトするたびに新しいものに変更しろ」とユーザーに強制してたけどさ
    お前の銀行の行員は毎日パスワードを変えてるのか?利用してる全てのサービスで。

    こーいう「自分ではやらないけど責任逃れのためにユーザーに無理難題を押し付けるメソッド」ホント嫌いだわ

    • by Anonymous Coward

      銀行自身は生体認証とか併用してるんじゃないの

    • by Anonymous Coward

      > こーいう「自分ではやらないけど責任逃れのためにユーザーに無理難題を押し付けるメソッド」ホント嫌いだわ

      規約を読ませて「同意します」にチェックさせるやつとかね。

      ほとんどは当たり前のこととかクレームつけたがりユーザ対策なんだろうけど、たまにとんでもない条項が入ってたりするかもしれない。

      • by Anonymous Coward

        規約を表示もせずに、サービス使ったら同意したことと見なすからね、っていうよりマシじゃないかな。
        どうせ読まずに同意するからどっちもどっちだけど。

      • by Anonymous Coward
      • by Anonymous Coward

        > 規約を読ませて「同意します」にチェックさせるやつとかね。
        > ほとんどは当たり前のこととかクレームつけたがりユーザ対策なんだろうけど、たまにとんでもない条項が入ってたりするかもしれない。

        もはや、ここまでくるとおかしいとしか思わない。
        規約に従う人のみ使わせるのは当然だろう?

        ほんとじゃー使うなって思った。

  • by Anonymous Coward on 2015年02月10日 16時31分 (#2758893)
    もう管理するのめんどくさいからなるだけアカウントが必要になるサービスは登録しないようにしてる。
    googleアカウント等で登録出来るタイプのはまだギリギリ許せる感じではある・・
    • Re:最近は・・・ (スコア:3, 参考になる)

      by Anonymous Coward on 2015年02月10日 17時09分 (#2758921)

      私はむしろ一つのアカウントがBANされるだけで共連れを喰らうのが嫌ですね。
      googleなんて何かあった時の窓口もよく判らないし。

      googleやFacebookのアカウント認証が出来ても、選択可能な限りID/Passwordは分ける事にしています。
      どうせ鍵長を長くした乱数パスワードなんて憶えきれない事を思えば、
      分けようが一緒にしようが手間なんて大して変わりませんし。

      親コメント
      • by Anonymous Coward

        自分もできるだけ分けるようにしてる。
        下手にGoogleやFacebookのアカウント情報を渡したくないしね。

        でも、認証という意味ではちゃんとSSL使って2段階認証まであるそれらのアカウントを使ったほうが安全ではあるんだろうな。
        一般のサイトだと、ログインにSSLがないこともよくあるし。スラドとか。
        サイトの内容的にSSLなくてもいいや、っていうところもあるけどさ。

        • by Anonymous Coward

          > 下手にGoogleやFacebookのアカウント情報を渡したくないしね。

          意味不明。

          GoogleやFacebookのアカウント情報を渡るわけないだろ!w

          • by t-wata (10969) on 2015年02月11日 0時04分 (#2759174) 日記

            あるサービスに登録するときに、IDがメールアドレスだからgmailのアドレス使うことがよくあると思いますが、パスワードまでgmailと同じものを使ってたら、そのサービスから漏洩したら、gmailのアカウント情報が乗っ取られますよね?
            もとのコメントはそういう話だと思いますけど。
            特にマイナーなサービスへの登録なら、google、apple ID、Facebook、amazonなんかとはID/パスワードが絶対同じにならないように注意しないといけないってことです。

            親コメント
        • by Anonymous Coward

          > 自分もできるだけ分けるようにしてる。
          > 下手にGoogleやFacebookのアカウント情報を渡したくないしね。

          コンビニのATMを利用すると銀行のお金コンビニに盗まれちゃうって心配レベル

          • by Printable is bad. (38668) on 2015年02月11日 12時53分 (#2759345)

            コンビニのATMを利用すると銀行のお金コンビニに盗まれちゃうって心配レベル

            「コンビニに盗まれる」訳ではありませんが……。

            コンビニATM は、日本国内でも、不正に設置されたスキミング機(小型読取装置) [sevenbank.co.jp] による被害が多発していますから、やむを得ない場合を除いて使わない方が良いと思いますよ。一応防犯カメラはありますが、常時監視しているわけでもなく脆弱です。コンビニATMを使う場合には、利用履歴を定期的に確認すべきです(不正利用から30日~60日経過すると、保証も受けられません)。不正なスキミング装置や暗証番号入力盗撮カメラなどが設置されていないか、取引明細ボックスの中・下部などを含めて慎重にチェックすることである程度悪用を防げますが、後ろに待っている人をイラつかせることになるし、逆に不審者として通報されかねません。

            銀行の支店のATMは、銀行員が定期的にチェックしていますし(特に営業時間内)、防犯カメラの監視も厳しいので、このようなスキミング被害の発生は殆どありません(コンビニと比べるとごくわずか)。また、都市圏であれば生体認証に対応していますから、生体認証を必須にすれば仮に磁気情報がスキミングされて暗証番号が盗撮されても不正引き出しが不可能となります。

            かといって全くコンビニATMが使えないのは不便なので、私の場合、日常決済によく使う2行のみでコンビニATMが使える設定(磁気ストライプ+暗証番号による取引、ICチップ+暗証番号による取引それぞれの限度額10万円/日)にして、それ以外の銀行では磁気ストライプ+暗証番号による取引、ICチップ+暗証番号による取引の限度額を0万円にして無効化しています。一週間に一回はネットバンキングで利用履歴をチェックしているので、これで、悪用された場合の被害額が最大でも70万円に限定されます。逆に、ICチップ+生体認証(指静脈もしくは掌静脈認証)+暗証番号による取引が悪用されたケース(恐喝を除く)は1件も無いですから、そっちの限度額は500万円~1000万円/日にしています。

            主要な銀行は、磁気ストライプ+暗証番号による取引、ICチップ+暗証番号による取引、ICチップ+生体認証(指静脈もしくは掌静脈認証)+暗証番号による取引、のそれぞれで取引限度額を設定できるので、(みずほ銀行 [mizuhobank.co.jp])(三菱東京UFJ銀行 [bk.mufg.jp])、デフォルトのままにしている人は、それぞれのライフスタイルにあった金額に変更しておいた方が良いでしょう。

            定期的な取引履歴チェックが面倒で、コンビニATMをたまに(数か月に一回とか)しか使わない人は、コンビニATMを使った後(数日以内)に、支店で暗証番号を変えるというのも良いかもしれません。

            親コメント
    • by Anonymous Coward

      常にランダム文字列をパスワードに設定すればOK。
      次に使いたくなった時はパスワードをリセットしてから使う。
      そういうどうでもいいサービスはたいてい
      リセットしたパスワードをメールで送ってくれるよね。

      • by t-wata (10969) on 2015年02月10日 16時59分 (#2758914) 日記

        自分はそういうどうでもいいサービスは、漏れてもいいパスワードを使いまわしてますね。
        でも確かにランダムでもいいかもしれない。ブラウザに覚えさせれば良いし、わからなくなったらリセットでいいから。

        親コメント
      • by Anonymous Coward

        本当にどうでもいいサービスはBugMeNot使って登録すらしない

      • by Anonymous Coward

        最近は大体、 (date; ls -l) | md5sum で出てきた値をパスワードにして、そのパスワードを自分宛てにメールで送ってるわ。。。

    • by Anonymous Coward

      >googleアカウント等で登録出来るタイプのはまだギリギリ許せる感じではある・・

      しめしめ(G)

  • by Anonymous Coward on 2015年02月11日 10時10分 (#2759287)

    経験上、定期変更は絶対にポストイットに書くのが出てくるので
    サイトのURLのうち前の数文字取った残りと固定した6-7文字の英文字+数字で
    15-20文字程度のパスワードを生成しています。(全部数字だと生年月日書くバカが出ますから。)
    これだと頭に入りますし、サイト生成分はメモ帳に書いてもオッケーです。
    実害がないところは漏れてもいいパスワードの使いまわし。

    IDとPass要求するサイトがあまりにも多すぎ。金がらみならともかく
    無償の会員とか。偽のサイトも増えてきましたね。Pass抜くために広告にまで。
    Dosparaだとdoruparaやドスパラ情報局なんてのがSEOで上に来てますし。

    .gtld増やすとアフィや詐欺サイトが増えるな。

  • by Anonymous Coward on 2015年02月10日 17時59分 (#2758944)

    パスワード管理数が何個とか、どこにメモしてるとか、
    何をもらったらこんなアンケートに答えるのか、
    それが一番興味がある。

  • by Anonymous Coward on 2015年02月10日 18時17分 (#2758956)

    覚えるのをやめた。
    メールアドレスとパスワードの組み合わせが同じにならないようにドメインとマスターパスワードからハッシュ値を作るページを自宅サーバーに作って、コピペすることにした。

    • サーバー×んだら終了?

      親コメント
    • by Anonymous Coward

      サーバーに置くなら、パスワード生成はランダムな方がいい、
      一意に生成されるロジックにするなら、一発スクリプトやアプリでいい(ネットから切り離す)、
      と思う。

      • by Anonymous Coward

        ランダムに生成したところで、それを記憶するのが難しいほど数のサイトがあり、ブラウザにおぼえさせない場合どこかにメモる必要がある。(これをしたくない)
        マスターパスワードはネット上を流れず、ストレージにも残らないので問題ない。(もっとも、家内LANの外からはほとんどアクセスしない。)
        ページ自体も別のパスワードでロックされているので、検索エンジンにも拾われない。仮にパケットキャプチャしても見えるのはアルゴリズムだけ。

        という考えからこうなりました。

    • by Anonymous Coward

      ・複数のパスワードが必要(例えば証券のログインパスワードと取引パスワード)
      ・文字種指定がある
      ・文字数指定がある
      ・ハッシュがパスワードとして使えない文字列になった(例えばpasswordや12345678になった)
      という場合に困りませんか?

      • by Anonymous Coward

        ・パスワードの変更を強制された
        も追加

        • by Anonymous Coward

          ぐぬぬ。
          それは考えてなかったかも。
          この方法のパスワード使ってるサイトでは今のところないですが、流出したら再設定を強いられるでしょうね。
          その場合は、マスターパスワード2(仮)でそのサイトだけ新たなパスワードを作るか、全サイトのパスワードを新マスターパスワードか新アルゴリズムで再生成しなおすことになりますかね...

          毎月強いられるようなところがあったら、そのサイトは「脳内マスターパスワード+月年」とかをマスターパスワードにするぐらいでしょうか...(そのこと自体を忘れてロックされそう...)

      • by Anonymous Coward

        困りましたw
        文字種別はチェックボックスで記号の有無等を選べるようにしてあります。
        文字数は長めに生成して前から必要な桁数を採用しています。
        さすがに意味のあるパターンが出てきたことは今のところないです...
        出てきたら、アルゴリズムの変更を考えたいと思います...
        複数パスワードが必要なサイトは今のところ銀行だけですが、そちらはIDがメールアドレスじゃないので、他で漏れても問題ないと判断して対象にしてません。(2個目のパスワードは乱数表かワンタイムパスワードなので、仮に破られてもしょぼい残高が見えるだけですので)
        入力する項目は2つあるので、マスターパスワード2(仮)を用意してあげれば2つパスワードを用意することはできると思います。マスターパスワードがそのサイトでは2つあるというのを忘れなければ。

  • by Anonymous Coward on 2015年02月10日 20時02分 (#2759007)

    パスワード管理ソフトは信用できないし、手入力するのは面倒くさい。
    USBやBluetoothでキーボードとして接続され、保存しているパスワードを入力してくれるようなデバイスはないだろうか。

typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...