2014-08-15

カーチャンパスワードを全部見直しました

カーチャン秘密をアンロックする話ではありません。

帰省してまとまった時間が取れたから、じゃあ何しようかなって思ってふと、カーチャンネットに対するセキュリティ意識どうなってるのかなと思ったのです。聞いてみると、丁寧にメモ帳手書きで残してありました。でも、だんだんと数が増えて面倒になったのか、パスワードの使い回しが散見されていたのです。これはマズイということで、見直しを行いました。その時に考えたことをみんなに共有したくてこの記事を書くに至ったわけです。

LINE乗っ取りの件もあって、ちょくちょくと話題になるけども実際に行動に移していないそこのあなた

これを期にやってしまいましょう。

はじめに

なんだかんだで手入力せざるを得ないときはあるため、「頻繁に使うサービス」と「たまに使うサービス」を分けて管理します。

たまに使うサービス

あなたはもう記憶しきれないほどのサービスを使っていることでしょう。だから信頼できるアプリ管理を任せます

オススメアプリ世界的に利用されている「1Password」です。ちょっとお高いけど、PCでもiPhoneでも使えるし、ログインを楽に行う機能がいろいろ付いていますAndroid版もありますカーチャンに買ってプレゼントしました(父さんは自腹…というのは冗談であんまりネット使わないみたいだから共用)。

たまに使うサービスは、この「1Password」を使って複雑なパスワード自動生成して、必要ときにここからコピペして認証します。

1Password自身にかけるマスターパスワードは、もともと使っていたメモ帳にはっきり書いてもらい、他のは捨てました。代わりに、アプリの使い方や追加/変更するときの手順を書いてあげました。

頻繁に使うサービス

例えば、Appleサービスはよく使うため、パスワード手入力することが多いです(再起動後のStoreとか)。他には、ブラウザシークレットモードを使ってGmail他人の端末で一時的ログインして使わせてもらうような場合もあるでしょう。こういう場合のために、自分ルールを作って導き出せるようにします。

手入力用のパスワードルールを考える

ルール要件:
  • 推測されにくいこと
  • できるだけ長いこと
  • 同じパスワードを使いまわさないこと

【参考】「Apple ID」のパスワードの条件:

ちなみに、Gmailは8文字(警告あり)という条件のみ、Facebookは6文字という条件(最終更新時期の明示あり)のみ、でした。

面倒なのは、各サービスルールが違うことです。

その中でも大きいのが、「サービスによって記号を使えるかどうかが分かれる点」「入力時には条件がわからない点」「設定できる限界文字数が違う点」です。記号を取り入れることは実はそこまで効果が高いわけではないようなので[要出典]、というか現に「Apple ID」では強制されていないので、記号を使わないことでルール違いの壁を回避します。長いことのほうが重要です。

手入力用のパスワードを決める

では具体的にパスワードを決めましょう。例えば、

この例だと具体的には『ma2uda99App1e7yg7yg7』(20文字)となりますしかし、これだと使い回しによる機械的な「パスワードリスト攻撃」を防ぐことができても、人間に見られてしまっては『ma2uda99Goog1e7yg7yg』と推測されてしまいそうです。なので、更に工夫してルールが見えにくいように『Goma2uda99og1e7yg7yg』とします(サービス名の頭2文字を先頭に移動した)。これは例なので、実践する時は自分なりに工夫してくださいね。1年に1度は必ず変更するルールにして、年の情報をうまく混ぜてもいいと思います

手入力用のパスワードは、多くても5個くらいにとどめておいたほうがいいでしょう。もちろんこのルールで決めたパスワードも「1Password」に登録します。よくわからなくなったら「1Password」を頼ればいいんです。どこぞの航空会社とかでは文字数制限的にこれらのルールが当てはめられなくてどうにもできないんですけどね。。

やっぱり面倒ですね

これを書いていて、やっぱり面倒だな~…と自分でも思いました。そういう場合は全部「1Password」に任せましょう。高くて買えない場合代替ソフトか、実物のメモまたはiCloudメモアプリでもいいんです。短くて推測されやすパスワードを使いまわすよりよっぽどいいです。今はブラウザパスワード記憶もありますしね。

実際、カーチャンにはさすがにないなと判断してすべて「1Password」に統一してもらいました。

おわりに

これらを実践すれば、使いまわしていた人は覚えるべきことは増えてしまうかもしれませんが、今までよりも安心して過ごせるはずです。自分怠惰さとセキュリティリスクを天秤にかけて、どうすべきか選択してください。

また、万が一のために「1Password」に保存した内容のバックアップもしておきましょう。暗号化していないテキスト形式で取り出すこと(エクスポート)ができるので、定期的にそのファイルZIPにし、マスターパスワードと同じものをつけてローカル保管しておきますマスターパスワードは、事故に遭ったりしたとき家族に知らせられるようにしておきます。こういった利点もあるんですね。

なお、私自身を特定されたくないのと、もうこれは自分利益じゃなくて国レベルでちゃんとすべきだと思うのでここに書くことにしました。これじゃダメ議論をする人やセキュリティにお詳しいあの人やあの人!もっともっと啓蒙してください。あーだこーだ言ってないで、じゃあ具体的にどうするのか優しく提示してあげてください。

この記事よ、広まれ~~!

記事への反応(ブックマークコメント)

アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん