Spring it: パスワード

ラベル パスワード の投稿を表示しています。すべての投稿を表示

2015年11月11日水曜日

【ネタ】パスワード管理ソフトのパスワードは、どう管理する？

photo credit: Big Brother is watching you via photopin (license)

セキュリティの基本にあげられるのが、パスワードの管理。
教科書的には、「難読なパスワードをサービスごとに作成」が、正解というのはわかってる。
でも実際には、下記のようにパスワードレベルを上・中・下と分けて使ってます。

上（ほんとに突破されてはマズいの）複雑なパスワードを機械的に作成
中（突破されても影響が低めのもの）雛形から、少しづつパターンを違えて作成
下（サービスお試し期間に使うようなもの）平易な覚えやすいもの

だって、200ぐらいあるんだもん（言い訳）

管理は「Enpass」というパスワードマネージャを使用。

Enpass: Best & Free Password Manager | Enpass

マルチプラットフォーム対応。Mac,Windows.Linux、のPCプラットフォームは無料。モバイル・デバイス用アプリはそれぞれ有料。
データベース作成を、柔軟にできるのが、気に入った理由のひとつ。

もちろんEnpassを管理するのにも、パスワードが必要で.......。
どうすると思います？

　Pinコードで管理する、別のパスワード管理マネージャに、Enpassのパスワードを保管してますわ（呆れ）

では、また。

2014年10月1日水曜日

ここ一週間に３件のパスワードリスト攻撃　パスワードの使い回しと辞書に載ってそうな言葉でパスワードをつくるのだけはやめましょう

photo credit: Dev.Arka via photopin cc

なんだろね、ここ数日のWebサービスへの不正ログイン騒ぎは。ヤマト９月２５日、佐川９月２８日,docomo 9月27日から29日の間(ー_ー;)
手口はすべてパスワードリスト攻撃。
パスワードリスト攻撃なんていわれても、ピンと来ない人がいるかもしれない。要はIDとパスワードに使われそうな文字列を用意しておいて、あとは機械に任せて一気にログインを試すの。
もちろん攻撃はTry & errorの繰り返しだから、受けたサーバは高負荷がかかって、攻撃されるのバレますけどね。割と泥臭い攻撃。

ツールもそーんなに特殊なもんじゃないので、Kali Linux使って実験環境作って試すのもそんなに難しいことじゃない。

パスワードを解読する方法part2 - Linuxによるハッキングの知識 - Yahoo!ブログ

なので、ユーザーが身を守るのにやれることといったら、「辞書に載っていそうなつづりはパスワードには利用しない」「おなじパスワードを異なるサービスにまたがって利用しない」
IDとPWを憶えられるものに、と思うから単純文字列にしちゃうのだろうけど、そもそも全サービスのパスワードを憶え切るのはムリなのだから、どこかに記録させましょう。

個人的にはあまりおすすめはできないけど、こういうノートもあるみたいだし。ほんとうはパスワード管理ソフトとか使ってほしいけど、それ自体がもう敷居が高い、というひともいるもんね。そのかわり、絶対他人の目にふれないところに仕舞って、管理するのが条件だけど。

【楽天市場】パスワード管理便利ノートパスワードブック【 hightide / ハイタイド】Password Book ミニノートパスワード ID メモ保存保管に ★文房具、デザイン雑貨のWakuWaku 代官山：WakuWaku

一方でサーバ管理者は、ユーザーに８文字以上のパスワードを登録してもらうようにID管理テーブルを設計する。単純な時間稼ぎでしかないけどね。８文字のパスフレーズを破るのに１億パターン、１２文字で一兆パターン必要なそうだから。６文字で瞬殺されるより、長い文字列で時間稼いでそのうちに攻撃を止める。

そのうちに個人のデバイスレベルでも、生体認証が使える日もくるかもしれないから、それまではベタな方法で自分の情報を守りましょう。