  |
はてなキーワード: パスワードとは
情報技術系だということで今さらながら入学祝いに安いノートPCを買ってあげました。
わたしとは違い体育会系なのであまりそっち方面のリテラシーはありません。iPhoneユーザー。
そんな彼でも健やかにネットライフを楽しめるようアドヴァイスを与えたく以下のようなことを書いてみました。
ご助言ください。
===================================
いろいろ危ないから気をつけろ
いろんなサービスがあるけど実名は基本的に使わないように。(Facebookだけは実名にしなきゃいけないが)
SNSは友だちだけとの会話でも世界に丸見えだと思え。twitterは「バカ発見ツール」と云われているぞ。
いろんなとこで同じのを使うともし流出したときにやばい。近頃は一見まともそうなサイトでも個人情報が流出しがちだ。
でもそんなにたくさんのPWは憶えておけるはずがない。
できればPW管理ツールを使うこと。
憶えておくのはマスターPWだけだ。父はkeepasを使っているぞ。PCでもiPhoneでも共有できるし使い方は簡単だからググれ。
あともちろんだけどPW自体絶対誰にも教えないように。万が一知られたらすぐに変えよう。
悪意のあるプログラムを仕込んでいるサイトがあるぞ。広告をやたらめったら貼ってあるようなサイトはとくに怪しい。
あるサイトを訪れただけで勝手にfacebookの「いいね」を押されて友だち全員にキミの趣味嗜好がばれるという最悪の事態も考えよう。
行かないのがベストだが。
ネットのことはネットに聞く。たいがいのことは教えてくれる。検索ワードの選び方も工夫してみよう。
きっと勉強にも役立つヒントを与えてくれるはずだ。
メールアドレスは携帯やプロバイダに依存しないものをメインにするべきだ。もう使っているかもしれないが、gmailかhotmailか。選択肢はそんなにない。
それを「メイン」としてつかうべきだ。そして「サブ」を持つならそれらはメインに転送設定しよう。i.softbank.jpのアドレスは携帯をソフトバンクから別に乗り換えたら終わりだ。
それをメインに使うべきではない。iPhoneでもgmailを使おう。
あと迷惑メール(SPAM)を回避するために、できるだけメインのアドレスは信頼できるところだけに使いたい。なのでどうでもいいところで使う「捨てアド」を持っていると便利だ。
父はyahooやexciteのメールアドレスを「サブ(捨てアド)」として使っている。
IT系でこれからもやっていくなら、ブラウザはwindowsに最初から入っているIEは使わない。これは世界の常識だ。
ChromeかFirefoxを使おう。父はFF派だが、Chromeのほうが将来性があるかもしれない。
そして便利な「アドオン」を使おう。アドオンはブラウザにいろいろな機能を追加する。英単語を簡単に翻訳したり広告をブロックしたりできるぞ。詳しくはググろう。
軽いノートパソコンだから外に持って行きたくもなるだろう。そして街では無料で使えるWifiも飛んでいることに気づくはずだ。
しかし、セキュリティ対策をしていないネットワークに接続することは危険が大きい。
PCに入っている個人情報をまるごとぶっこ抜かれるぞ。詳しくは「フリーwifi 危険性」とかでググろう。
windowsはウイルス対策が超必要なコンピュータだ。かといってわざわざ有料のウイルス対策ソフトを買って入れる必要はない。
windows8にはデフォルトでウイルス対策がされている(Windows Defender)。初回セットアップ時に確認しよう。
むしろ無駄なアンチウイルスソフトの体験版などが入っていたら動作が重くなるのでアンインストールしよう。
またウイルス対策にはシステムを常に最新にしておくことが重要。windowsは頻繁にアップデートしているから、PCを久しぶりに起動したときなどは更新プログラムのチェックをしたりもしよう。
迷惑メールにも悪意あるプログラムが添付されていることがある。迷惑メールは開いてはいけない。
著作物のダウンロードとか。売っているものがタダで手に入るということは違法の可能性を疑おう。
===================================
こんなとこか。
http://tabitter.net/13-years-old-tried-to-hack-got-hacked/
どこが出どころなのかしら。
ちょっと検索してみた限りでは、futuremarkのフォーラムの2006/10/24の投稿が一番古いみたい。本家スラド記事リンクはこの少しあと。steamフォーラム投稿はかなり後。
「ムッハハハ(鼻から牛乳噴いた)」
http://community.futuremark.com/forum/showthread.php?23914-Mwahahah-%28milk-comes-out-of-nose%29
投稿者のbr0kenrabbitは何度かレスを返しており、「自分のsteamアカウントは"br0kenrabbit"ではない」、「彼(13歳のGreg)のアカウントは返還した。」などと言ってる。
それっぽい感じだが信憑性は不明。いわゆる小話という印象を受けないでもない。
id:shag いや valve 2重認証プロセスあるし...。こんなやりとりで奪えないはず。
指定PC以外からのログインを制限するSteam Guardの導入は2011年のこと。
2006年ごろに、IPアドレスなどから不審なログインを監視してたりとか、パスワード変更等登録事項の変更に確認メールが送られたりしたのかどうかは知らない。
2008年ごろの垢ハック事例を見ると、IDとパスワードを漏らしただけで乗っ取られてしまっているように読める。が、他もダダ漏れだったのかしら。
最近流行した垢ハックは、「フレンドチャットでよそのサイトに誘導し、ブラウザプラグイン(を装ったマルウェア)のインストールを促す」といったものらしいですが、恐ろしいですね。
コメントするとローカル領域に保存。アカウント不要(登録不要/パスワード不要と表記する)。
ホッテントリを見るものなのでこれはただのニュースフィードリーダー。はてブカテゴリートップに表示される記事しか見れない。でもタグ検索して独自のカテゴリーを用意してもいい。タグ「hatena」カテゴリーとか。「凍てつく波動」カテゴリーとか。「うーむ」カテゴリーとか。非公式カテゴリーを公式カテゴリーと混ぜて一覧化。(ふーむはタグではないので抽出しづらい。実現するなら別のアプリになる)
カテゴリーの紹介文も適当に付ける。ベクターではこういう点が大事。
タグは表示から省く。その代わり発見したタグを自動的に集計。カテゴリー候補としてmyカテゴリー作成のそばに淡色で表示。クリックで見る、またクリックするとカテゴリー化。ダブルクリックでも右クリックからのコンテキストメニューからもカテゴリー化可能。機能としては「ピン留め」だけど、体裁はタブのほうが良さそう。
自分で検索した言葉もタブ化するか?→必要ない。そこで見つけたタグのほうをタブ化したほうがはてなブックマークに馴染める。
ブコメは敷き詰める。あるブコメが終わった同じ行の、次の文字から次のブコメを続けて表示。全ブコメをまとめてインライン表示。ブコメの集まりがlistではなく一つの自由律散文詩に見えるように。タグは含めない。
両脇に発言者のアイコン。誰がどの部分を書いたかは意識すればわかるように、アイコンとブコメの該当個所を同じ色の枠で飾ったり、関係線で結んだりしておく。ブコメに付けたローカルスターははてなユーザーと関連付ける。ブコメではなく人にスターを。集計を見たユーザーがはてなユーザー個人を意識するように。
無言ブクマは「…」。無言の多さも見て取れるように。
コレクションにコメントをするのが日記。それを日記のように見せるのならあり。
ベクターで受けているのは自前のPCにすべてを保存するアーキテクチャーだ。
次にビューアーであること。ダウンロードとインストールまでした上に登録などベクターユーザの誰がするものか。よってアカウント不要の閲覧に機能を絞ることになる。
ベクターでは良質ソフトウェアを評価するときによく「かゆいところに手が届く」という表現が使われる。ユーザのやりたい操作ができること(ユーザーの発想を広げないエクスペリエンス)と、技術的制約……ユーザから見て理由のよく見えない妙な制約が無いことの2点のこと。
コメントをどう見せるかが鍵。世間の声?世論?ユーザーを指定してミュートできるとコメントできない不自由さを解消できるかも。
1. 人気コメント
2. 記事タイトル
3. 記事
記事タイトルならどこのニュースサイトでもやっているので、人気コメントを先に。
人気コメントは表示するけど、はてなスターは表示しなくていい。星が見えないのではてな村の星祭りは意味不明に見える。
最初に見せるのはブックマークエントリータイトル(記事タイトル)の一覧ではなく、それに付いたコメントのうち最上位の人気コメント。発言者のアイコン付きで。エントリータイトルはその下に小さく表示。
このアプリのコメント機能は「はてなユーザーやそのブコメにコメントする機能」。お気に入りはてなユーザーを強調表示したり、非表示(ミュート)にしたり。
Web上の記事も読めるけど、中心になるコンテンツははてなユーザー。ブクマエントリーページを見ながらメタブを付けるのをローカルでやるようなものがこのアプリ。エクスポート機能によっていつかははてなブログへ移行。
非表示は二段階。網かけか淡色化で見えにくくするか、完全に非表示(collapse)にするか。検索など他のビューでも有効。
はてなユーザーに付けたコメントはそのユーザーIDが表示される場面全てでIDに併記される。ラベル(レッテル)貼り機能。ラベルの背景色も変えたい。ラベル内でも強調語やユーザーIDを消す機能を有効にしたい。
特定のはてなユーザーやTwitterユーザーをお気に入りに。ローカル保存。見つけたら強調表示。ユーザーの表示から容易に検索ビューへ進めること。
強調表示される語はユーザーIDに限らない。任意の文字列。登録と削除のビュー有り。
コレクションビューで一覧化。その人の最近のコメントが読める。
UIはWindowsデスクトップ用のもの。表を多用する。WindowsXP対応。はへらったーが参考になる。
数字よりも塗りの面積で見せる。
上限ははてブユーザーの感覚に合わせたいけどとりあえず1000usersで。それを超えることはあっていい。
シングルウィンドウ・シングルドキュメントなぶん履歴を活用して利便性を補う。
検索はローカル領域を。ユーザーが見てもいない情報は検索対象外。お気に入りユーザーのログは含めてもいいかも知れない。それでも一人分の全ブクマをダウンロードしてから検索。
気になる話題についてどんなコメントが寄せられているか調べるには?→ 検索は必要。新着/人気の両方を切り替えられないと話題は見つけられない。
印刷機能は重要。PDF化もここからなので。.docxにできればなおいい。
コメントを保存する機能があるなら、暗号化すると受ける。履歴があるなら参照時にパスワードを設定するといい。あなたの心のセキュリティ。
「ご利用には利用登録が必要です」 「このソフトウェアと開発経緯について」ダイアログだけでいい。無意味に切り抜いた矩形でないダイアログで。スプラッシュスクリーンも無意味に切り抜くとちょっとすごい感を演出できそう。影付けて立体的なペーパークラフト感を出して。
日記の日付は設定にある「日付の変わる時刻」を反映したものに。デフォルトは28:00(4:00AM)。12:00から36:59まで指定可能。「かゆい所に手が届く」機能。
はてブを読んではてなブログを書くために使う利用法も。(ブクマではなく)ブコメに星を付けるとコレクション。日別の日記記事になる。記事内は付けた星の色ごとにまとめ。ブコメを引用して自分の日記を書く。星の色はウィンドウズロゴの4色と黒。黒は非表示(ミュート)のスイッチ。
はじめはローカルで始めたユーザーがWebに移行できるように。移行したところでIDコールも有効になる。
自動エクスポート/インポートできればDropboxでも共有できる。インターネット越しにインポートしたい。
添付ツールとして、ステータスバーにCPU利用率とメモリー使用量・空きメモリー(パーセンテージ)とメモリー最適化機能
3クリックで相対時間や時刻をお手軽設定できるアラーム(指定時刻に指定メッセージを通知領域に表示するもの)などを付属。(アラームはアプリ起動中のみ有効なので、アプリ終了時にまとめて発動。なおかつ再起動したときに引き継ぐ)普段から何かしらのアラームを使っている人なら、このアプリのアラーム機能を使う意味は無い。
はてブエントリーページをローカル領域でブックマークするという機能。インターネットショートカット(.url)にして保存。WindowsエクスプローラーやIEと共有。
フィードバックツールも重要。ウィンドウをサムネイルから選択(エラーダイアログも選択可能・エラーダイアログにもフィードバックツールを開くボタンを載せる)、メッセージを添えて「非公開で開発者だけに送信」というボタンで送信できるようにする。送信内容のプレビュー付き。UI上ではフィードバックではなく「要望(クレーム)送信」というラベル。
保存して検索できて呼び出せればいい。
Linux Mint は、現在世界第4位で利用者が多いデスクトップOSだそうですよ。第3位はUbuntuかな。
Linux デスクトップ環境は、W******と遜色なくなってきましたね。
あとは、「ソフトウエアの管理」で RDP/VNC クライアントを探して、サーバや他のパソコンの遠隔操作にも使えるようにしようかな、Google Chromeをインストールしようかな。
海外旅行先でブラウザからhotmail(outlook)を使おうとすると
正しいパスワードを入れても、unusual place でアカウントがロックされるので使えない。
海外で報告多数。
How do I prevent Hotmail from locking me out when I travel overseas?
http://askleo.com/how-do-i-prevent-hotmail-from-locking-me-out-when-i-travel-overseas/
I have just come back from a one month trip to Indonesia. While I was there, Microsoft blocked my access to my hotmail account. They claimed that they had noted that I was using a machine overseas. The only remedy that they offered was to obtain a security code that would be sent to my Australian mobile number. However, my Australian mobile phone does not allow roaming without a large security deposit, so I would not be able to see this security code while I was still overseas.
https://www.lonelyplanet.com/thorntree/forums/travel-tech/topics/free-email-account-for-travellers
数年ぶりにMinecraftで遊ぼうと思ったけど、ログインパスワードどころかユーザーIDすら忘れてしまった。
家に帰ってメールボックスを調べてみると、どうやらもう削除したメールアカウントで購入していたようだ。
購入履歴からユーザーIDは判ったけど、思い当たるパスワードでも通らない。
パスワードリセットはもちろんアカウントのメールアドレスへ送られるので受ける事が出来ない。
アカウントメールアドレスにユーザーネーム、購入時のトランザクションIDを添えて、何とかならんかい?と運営へ問い合わせ。
返事待ち。
何にイラついてるかって、「人気エントリに入ってきてウザい」「なんだよ焼き直しじゃねえか」「はてブやたらついてる」「PV稼ぎかよクソ」「英語勉強記事と同類だわ」「入れるべきって、あんたの仕事環境や趣味嗜好を根拠にすんな」「また全部MacVimじゃねえの」とかそういうことを思うわけ。
とは言え自分もそういう記事を参考にトレンドを知ったりしてお世話になってきた部分もあるんだけど、じゃあ自分も同じように紹介して還元したいかっていうと、そうじゃない。だけど需要はあるみたいだ。みんな、良いアプリを知りたいんじゃなくて、自分の作業をもっと楽に早くできないか考えてるんじゃないかな。
アプリはあくまで道具。どんな目的を達成するために、どう組み合わせて、どういう手順でそれを使うのか。それを導入すると、どういう人がどう嬉しいのか。それをはっきりさせてほしい。それが理解できないままインストールするなんてことはしたくない。
だから、業種や職種、OS、作業目的を明示したレシピを公開して共有するサービスがあれば素敵じゃないか。例えば、
といった感じでぱっと自分の思いついたものを適当に上げてみました。
で、投稿されるレシピに含まれるアプリの統計を取ってトレンドを探ったり、時代の移り変わりに応じてレシピをバージョンアップしたり。黒い画面に抵抗がある人はそれが含まれるレシピを省いて検索。同じ作業目的でも効率に差が出るレシピには知識要求レベルも割り当てることでステップアップ形式にするとか。
これらを充実させていけば、目的に特化したレイアウトで規格化・整理した状態で横に並べて比較参照でき、それに慣れた人々はエゴに満ちた中途半端なブログ記事のクソデザインで邪魔なサイドバー、冒頭のよくわからない挨拶、わざわざ自サイトでそれをやることにイラついて糾弾が加速し、次第にアプリ紹介記事は消えていくことになるでしょう。そして結局何を目指しているかというと、
ということなのです。会社としての強みとしてそういったノウハウを抱え込むのもよいですが、なんかもっと高レイヤーで競いあったほうがいいんじゃないのとか思うわけです。業務フローをオープン化したらプレイヤーのスキルが汎化されて、より人材の流動性も高まって、もっと人間にしかできないようなことで悩めるようになるんじゃないでしょうか。
もともとはUNIXに使われていたCrypt,DESのブロック長が8バイトだったのと
当時はそんなにディスク容量もなかったので便宜上バスワードは8バイトまで。(8バイトで切られる)
という歴史的仕様だった時の名残。今はSHA256かSHA512だから64文字ぐらいまでなら何の問題もない。
もっとも、当のUNIXの世界ではとっくの昔に公開鍵暗号方式とワンタイムパスワードの組み合わせになってるので
直接パスワードを送信したりはしない。
30年か40年ぐらい昔の仕様が今でも残っているのが8文字なんじゃないかなぁ。いくらなんでも、時代に追いついてなさすぎだよね。
ちなみにDESなんてもう使わない。3DESですら脆弱、MD5,SHA-1ですら脆弱と呼ばれる時代っすからね。
ただ銀行系の人は、そんな知識もないでしょ(技術屋じゃないからね)。下手すりゃ証明書はベリサインだよね。とかまだ言ってるとおもう。
彼らの知識を更新するのは、とんでもない重労働だからSEは誰もやらないと思う。そんな事しなくても古い技術で金がもらえるのにわざわざ危険を犯してまで進言する奴はもう銀行業界にはいないだろ。
金が絡むサービスに限って、脆弱なパスワードしか使えないことが多い気がする。
「8文字以上、16文字以内で記号なし」とか。
SQLインジェクションにビビって記号さけるのはまぁ10000歩譲って分かるけど、なんでパスワードに桁数制限があるの。
単なる文字列なんか100文字ぐらい許してくれてもいいでしょ。そんなにリソース取らんでしょ。
問題は使用者が覚えてられるかだけど、そんな長いパスワード毎回入力するのはキチガイだけで、コピペするのが現実。
最近は1Passwordで自動生成したパスワードしか使ってないので、一つも覚えてない。
さっき初めてDropboxを使ってみた。
例によって登録用のメールアドレスを求められたので、その欄にはキャリアメールを入力した。
すると、私は一度も使ったことがないのに「このメールアドレスは既に使われています」と表示され登録ができなかった。
一瞬何が起こったのかわからなかったが、誰かが勝手に私のメールアドレスを盗用しているのかと不安になって
例によってパスワードの再送信をリクエストしてみた。間髪入れず携帯が鳴った。まあ既に会員登録されているんだから当たり前だろう。
受信箱を開くと、例によって「パスワードをリセットするにはこちらにアクセスしてください」という案内を含んだメールが届いていた。
2.確認のためもう一度入力してください
というフォームしかなかった。適当に打ち込んでみた。パスワードを変えることができた。
これは私のアカウントじゃないのに。
当然ログインにも成功してしまう。もちろんそれは、どこの誰が使っていたかもわからないアカウントだった。
同一のメールアドレスであったとしても、その所有者はコロコロ変わりうるのに。そんなこともわからないのだろうか。
せめてパスワードをリセットする際に誕生日とか合言葉を要求するとか思いつかないのかね。
よく名前を聞くウェブサービスだからもっとちゃんとしてるのかと思ったけど、これじゃあね。
ネットバンキングのオプションである、「ワンタイムパスワード」が「パスワードカード」に変更になった。
そこで罠にはまったので書いておく。
“契約者番号”(10ケタ:決められた数列)と、
“ワンタイムパスワード” (機械生成のランダム数列)によってログインしていた。
その新しいワンタイムパスワード発行機“パスワードカード”を更新登録する際に、新しい暗証番号を決める事を強制される。
「4ケタ」の新しい暗証番号を決めるように言われるのだが、ここにまず一番目の罠が潜んでいて、それまで使っていたパスワード8ケタよりも短い4ケタのパスワードを決めさせられる時点で、感覚的に「何か新しいパスワードが必要なんだな」という意識になるのだが、これが実は今まで使用していた第一暗証(8ケタ)の代わりの番号だというのだ。
自分でも後から理解して意外だったのは、この“4ケタに減る”という事態が与えるその心象だ。
同じ桁数で文字列を変更しろと言われるのとは全く違った印象で、私は何の疑いもなく“全く新しいパスワードを作らされている”と完全に思いこんでいた。
それは、同じ用途の同じパスワードで「桁数を減らせ」などという指示がこの世にあり得るとは微塵も思っていなかったせいもある。そして当然、その様なことを念入りに忠告する仕組みにもなっていなかった。
セキュリティの問題が叫ばれる昨今、認証の手続きが複雑になるならまだしも暗証番号の類においてまさかの、
“桁数が減る” という事態に対し詳細な説明も無い。
その場合に働く憶測、
「それまでの8ケタの暗証番号はそのままに、何か別の場面でその新しい4ケタの数列が必要になるのだろう」
と自然に考えてしまったのは、日常的に“アカウント作成”に慣れすぎてしまった為だろうか。
銀行側はそのパスワードを“第一暗証”という統一名称で呼んでいるようで、その名称は唯一であるのでそれを提示しておけばユーザーはその“第一暗証”について操作するのだと自然に考えると思っているらしいのだが、そもそもその“第一暗証”という呼び名がこちらにあまり浸透していない事も事態を混乱させた。
こちらとしてはサービスごとに決めさせられる英数字 数ケタの暗証番号はどれもこれも“パスワード”で、それが“第一暗証”と呼ばれているかどうかはなかなか意識の近いところには無い、遠い記憶の彼方を探ればそういえばそんな呼び名だったかも…と思える程度のものだ。
そしてさらに事を複雑にするのは、キャッシュカードの暗証番号、通常皆がATMで入力する4ケタの暗証番号だ。
まず“4ケタ”という印象からして紛らわしいのに、さらにSMBCでネットバンキングをする場合、たまにこの暗証番号が必要になる事がある。どういう時に必要なのか忘れたけど、確かECサイトなどで銀行振込を直接呼び出す系の時だった気がする。ああもう!
さらにさらに!通常、SMBCのネットバンキングを利用する場合に使うログイン画面で、先ほど出てきたパスワード“第一暗証”(4ケタ)を入力する欄が、同じ“第一暗証”という名称のパスワードでも顧客によって、8ケタの人と4ケタの人が混在しているため、入力欄は“第一暗証”という名前で“8ケタ受付”になっている。
今までずっと使っていた8ケタのパスワードが弾かれる!
「あれ?」 再度入力、弾かれる!
「うわ! ヤバい、なぜだなぜ弾かれる!?、しかしおそらくチャンスはあと1回…なんだっけ、パスワード変えたんだっけ!?」
「でもこの入力欄8ケタだよなあ…8ケタ…うーむ、あれじゃないとしたら何だ!?」と。
そこで第一暗証を新しくした事を忘れてしまった、もしくは理解していない人間が、まさか4ケタにした事など思い出すはずがない。むしろ8ケタであることを確認してしまう。
そしてこれはマズいと思い、サポートに電話してみる事にした。ガイダンスに従いピポパして進む。
いくつか進んだところで、
「お客様の情報を確認する為、契約者番号と“4ケタの第一暗証” を入力して下さい」
ここで明かされる衝撃の事実!4ケタ!いま4ケタって言った!
ログインにキャッシュカードの暗証番号を入力するシステムに変わったの! クソが!!!
そ
し
て
、
「“第一暗証”が確認できません」
ん……?
ここでやっとサポの兄ちゃんに繋がる。
「えっと、えっと、あの、暗証が、4ケタの、あの番号が8ケタじゃなくてえっと最後になんか言われた気がしてあのその」
(……深呼吸……)
「この電話でさっき4ケタの暗証って言われたんですけど、4ケタの暗証ってアレでしょキャッシュカードの?」
サポ「いえ、新しいパスワードカード登録時に新しく決めた第一暗証4ケタで」
「えっと第一暗証ってログインの時のアレ?あれ8ケタじゃないの?」
サポ「いやですから新しい第一暗証4ケタ決めてもらったやつあんべ?」
ここら辺でうっすら思い出してくる
「え、でもあの4ケタってまだ別の新しいなんかパスワード的なそんな感じのアレじゃないの?」
サポ「それ、第一暗証だしログイン時に入れてた8ケタの代わりだし。4ケタになったし。」
「うわああそかああああ、分かりづれええええええ!!でもまだ2回ミスだから大丈夫だよね?行ってくる!」
サポ「あ、ちょいまち確認するわ。あーお客様さっきこの電話でミスったのもカウントされますんで計3回ミス、みごとネットバンキングストップです乙w」
まじなんだよそれ。心当たりある人はきよつけてに。
