昨今Webサイトを賑わせることの多くなったパスワード漏洩。ここなら安心だろうと思っていた大手サイトも次々にパスワードが漏洩する事件が発生し、Webサービスにおけるパスワードは非常に重要な問題になっています。
パスワードのセキュリティについては昔からいろいろな設定TIPSがあって、「すべてのパスワードで乱数を作りましょう」「メモしておくと危ない」とかいろんな話があるのですが、これって全部やろうとすると結構大変。仕事にしても趣味にしても、最高水準求めすぎると結果続かなくなり、結果として何もしなくなっちゃう、ということも多いです。
そもそもとして昨今のパスワード漏洩は、本当にサービスが漏れたというよりも「いろんなWebサービスで同じパスワードを使い回している」というケースが多い。大手サイトはセキュリティしっかりしているけれど、あまりそういう意識のないネットショップとかに登録したパスワードを使ってログインされたらそれはもうどんなにセキュリティ対策してても防げないですよね。パスワードを他人に教えてしまっているようなものなのだから。
そのためこのエントリーの命題は「いかにパスワードを使い回さないか」ということに主眼を置きつつ、「それをいかに面倒くさがらずに続けられるか」ということです。かの名作マンガ「パイナップルARMY」にもそういうエピソードがあるんですが、当たり前のことを当たり前に毎日続けるって、なかなか大変なのですよね。
「ここに述べた心得は単純なことばかりだ。しかし、それを毎日毎日徹底させるのは難しい。だが、そこにこそあなた方の命がかかっている」/【パイナップルARMY/工藤かずや、浦沢直樹】 – カイ辞典 二刷
http://kai3.hatenablog.com/entry/20080824/1219561118
それ以外にも総当たりによるパスワードアタックなどいろいろなハッキングされることもありますが、よほど個人を特定されない限りそれで漏洩するのは難しいかなと思うのと、パスワードを使い分けてさえおけば1つのサイトだけで済むという、メリットデメリットを合わせた結果妥当であろう策、という位置づけです。なお、以前からずっと疑問に思っていた「パスワードの定期変更って意味あるの?」って件については下記のエントリーがとってもためになるのでぜひご一読ください。
パスワードの定期的変更について徳丸さんに聞いてみた(1) | 徳丸浩の日記
http://blog.tokumaru.org/2013/08/1.html
ちなみにパスワード管理については「1password」という有名なアプリがあり、これを使っている人も多いと思いますが、私は以下の理由で使っておりません。ただ、ツールとしてはかなり便利ではあるので、下記の理由を気にしない人であればこんなエントリー読まずささっと1passwordを使ってセキュリティを高めましょう。
- 初回だけでなくソフトのバージョンアップも有料
- 大きめの競合がいない
- 一度使うと移行しにくい
- Androidはオフィシャルだとリーダー機能のみ
ウイルス対策やファイアウォールみたいにどれでもいいや、っていうサービスみたいならいいのですが、パスワード預ける場所はできるだけ自由度高めておきたいのですね。1passwordはお値段も結構高めかつ、依存しすぎると後で大変そう、ということで、できるだけ自前管理するようにしています。
パスワード管理術その1: 乱数パスワードをメモに保存しておく
と長い前置きを置いてやっとこさ本題。まず第1の手法ですが、おそらくこれがセキュリティの高さとめんどくささのバランス考えて一番無難なところかなあ。乱数サイトを使ってパスワードを乱数で作成しておき、それに自分だけが覚えておけるパスワードを記憶しておく。乱数はサービス名と一緒にテキストに書き出しておき、Dropboxに保存しておいていつでも参照できるようにする、というやり方です。
パターンとしてはこんなかんじ。自分だけが覚えるパスワードを仮に「1234」としておきます。
■メモ保存しておくパスワード
Q9dj
rqF8◇mixi
NU8E■実際に入力するパスワード
Q9dj1234
rqF81234◇mixi
NU8E1234
メモ保存なんてそれが流出したらどうする! とかいう指摘はもちろんなのですが、最初に述べた通り、今回の目的は「同じパスワードを使い回すことを防ぐ」ということと、「仮に流出したときに被害を少なくする」というところにあります。
仮にこのメモ書きが流出しても自分だけが覚えているパスワードを知らなければログインはされないし、ましてやどこかのサイトでパスワードが漏洩しても他で使い回されることを防げる。パスワード個別管理なんてどうやってもめんどくさくなってつい使い回す、というのをできるだけ防ぎつつ、パスワード漏洩時のダメージを軽減するというところで、自分の中では一番妥当な策かなと思っています。
ポイントとしては、乱数に必ず大文字の英語を入れておくこと。一部のサービスはかならず大文字混在を求めてくるので、最初から大文字混ぜておくとちょっと便利です。パスワードを総当たりで攻撃されるときも大文字入れておいたほうが多少は被害受けにくくなりますし。乱数は自分で作ってもいいし、「乱数」で検索すればフリーソフトや作成サービスなんかいろいろあるのでそれをつかって手を抜きましょう。
メモ書きをDropboxに保存するのは、Dropboxが2段階認証を導入していることと、PCおよびスマートフォン環境が充実しているから。サイトへの攻撃によるパスワード漏洩という対策としては、やはり2段階認証があるのとないのでは安心感が違います。SkyDriveも2段階認証は対応しているのでそっち使うのもありかも。
入力するパスワードは覚えるの大変なので、ブラウザの機能を使って保存します。最近はChromeだとパスワード丸見え怖い! という話もありましたが、あれはChromeの開発者も言う通りそもそも誰でもパソコン触れる状態で放置するほうが危ないので、離席するときはWindowsの人だったら「Windows+L」、Macの人だったらexposeでスクリーンセーバーにしつつ復帰時にパスワード求める設定にしておきましょう。
それでもパスワード見られるのが怖い! って人はFirefox使うといいかもですね。Firefoxも知ってる人からするとパスワード見る作業は大差ないっぽいですけども。
で、例えば、Firefox は確かにマスターパスワードを設定できる機能が実装されています。
(中略)
が、下記のように実際には保存されたパスワードを閲覧することは大して難しいことではありません。
Chrome などで保存したパスワードが丸見えだから危険とか言われている件について | WWW WATCH
http://hyper-text.org/archives/2013/08/chrome_password_security.shtml
パスワード管理術その2: サービスごと覚えやすいパスワードを作る
いちいちコピペするのもめんどい! とか、そもそもメモに保存するのが怖い! という人は、セキュリティ度が多少下がるもののこういう方法もあります。繰り返しながらこれだと乱数に比べて類推される可能性が上がったり、いろいろ使い勝手が悪い面もあるのですが、パスワード入力の面倒さは多少楽になるかなと。
具体的な手法はさほどと変わらず、自分の中で覚えているパスワードと、サービスごと個別のパスワードを組み合わせるのですが、個別パスワードを乱数ではなくサービスごと自分で思い出せる文字の羅列にしておく方法です。
このやり方の場合、できるだけ自分のやり方ならではの方法を考えるといいのですが、1つの手法としては利用するサービスの名称から生成ルールを決めておくこと。例えば「サービスのドメインを見て最初の文字と最後の文字を取り、最後に文字数を付け加える」という感じです。
これも文章だとわかりにくいので以下例で。前回同様自分で覚えておくパスワードを「1234」としておきます。ちなみにこのルール、自分では使ってないのでこれ使ってハックしようとしても無駄ですよw
■サービスごと固有のパスワード
Tr7(最初のTと最後のr、文字数)
Fk8(最初のFと最後のk、文字数)◇mixi
Mi4(最初のMと最後のi、文字数)■実際に入力するパスワード
Tr71234
Fk81234◇mixi
Mi41234
ポイントは最初の文字を大文字にするのもルール化しておくこと。これは前のメソッドと同様、大文字必須とするパスワードがちょいちょいあるからです。
最初のメソッドと比べると自由度が低く、たとえばFacebookの場合、Fで始まってKで終わる8文字のサービスがあるとパスワードかぶっちゃう問題、一度流出してしまってパスワード変えなきゃ、というときにそのパスワード専用に新しいルール作らなきゃいけない問題という点で利便性は劣ります。
あと、文字数長すぎると入れられないという謎仕様のパスワードを課しているサービスもちょこちょこあるので、乱数の場合は割と簡単に対応できるのですが、このやり方だとそれに対応する柔軟性にも欠けるので、最初から込み込み8文字に抑えておく、というのが無難ですかね。
以上、2つほどできるだけめんどくささを省きつつサービス固有のパスワードを作る方法をご紹介しましたが、繰り返しながら高度なセキュリティを維持したければすべて乱数でサービスごとに作成しておき、メモには保存せずきちんと使い分ける、っての最強だとは思いますが、それってちょっと極端にたとえると、サッカーで「1点も与えなければ絶対に負けることはない」というのと同じというか、できたら最高だけどそれがなかなかね……、ってところはあるかなと。もちろんサッカーに比べるとそうとう楽な話ですが、人間はついつい手を抜きたがる生き物ですからね……。
「え! あそこが!?」というくらい超大手のWebサービスですらパスワードをハックされ、そしてその理由の多くが「パスワード使い回しているからではないか」と言われている昨今、最低限のセキュリティとして「パスワード使い回さない」は非常に大事なポイントで、完璧ではないけれどせめてもそのクオリティを守る、ということが少しでも皆様のお役に立ちますように。
また、他にももっといい方法があるとか、そのやり方では隙だらけ! という意見ありましたらどしどしお便りください。そうしてパスワードに対する意識が理想論だけでなく、現実的に維持できる手法として広がっていくといいなと思います。