はてなキーワード: パスワードとは
元エントリーの人がどこまで理解しているか不明だけど、自分が初心者だったときこういう説明がほしかったという話をしてみる。
暗号方式、特に公開鍵暗号の理解が難しいのはいくつか理由がある。
②素朴な利用例が少なく応用的な利用がいくつもある
また、ざっくりした概念以上のものをきちんと理解しようと思うと
④何がどのくらい安全で何がどのくらい危険かセキュリティ的な概念の説明
ここでは自分的にこういう順番で概念を把握していったという流れを書いてみる。
まず、物理的な錠前や書留郵便をイメージするのはあきらめてほしい。
あくまでもデジタルデータを別のデジタルデータに変換して再び元に戻すためのものだ。
公開鍵暗号登場以前は、パスワードを使って変換(暗号化)して、同じパスワードを使って元に戻す(復号化)という共通鍵暗号の時代が長く続いた。
それが暗号化のパスワードと復号化のパスワードで異なるものを使うという技術だ。
・特殊な数学的アルゴリズムでパスワード1から、それと対になるパスワード2を生成する
・パスワード1で暗号化したものがパスワード2で復号できるだけでなく、その逆つまりパスワード2で暗号化したものがパスワード1で復号できる(※)
今はその数学的アルゴリズムまで理解する必要はない。ただそういうことが可能になったというだけでいい。
パスワード1(秘密鍵)を自分以外が見られないように保管して、パスワード2(公開鍵)を通信相手に渡せば暗号通信ができそうということは理解できると思う。
ちなみにこのパスワードの長さは、プログラムで生成した100桁以上の数字が使われることが多く、それを定型的な千文字程度のテキストにして使われるのが一般的。
ツールで生成すると千文字程度のテキストファイルが秘密鍵用と公開鍵用の2個できる。
これだけの桁数なので暗号化復号化の計算はそれなりに時間がかかる。(※)
(※) このあたりは一般的な公開鍵暗号というよりRSA公開鍵暗号特有の話も混ざってます。詳しくは専門書参照
次にこの発明を使ったらどういうことができるだろうか、応用できる先を考えてみよう。
誰でも最初に思いつく例だけどシンプルすぎて共通鍵と変わらなくありがたみがない。
(b)僕にメッセージを送るときは僕の公開鍵で暗号化してね(いわゆる公開鍵暗号)
メッセージの送信先を間違って別人に送ってしまっても他人は読めないし、経路のどこかで盗み見や内容の一部を改竄されたりすることがない。
メッセージに返信するときは今度は「僕」ではなく相手の公開鍵を使って暗号化する。
(c)本文を毎回全部暗号化すると時間がかかるから共通鍵を君の公開鍵で暗号化したものを送るね。それを君の秘密鍵で復号したら以降は高速な共通鍵暗号で通信しよう(鍵交換)
共通鍵暗号の高速性というメリットを利用できて、かつ生の共通鍵がネットに流れるリスクを排除した良いとこ取りの方式。
(d)暗号化しない本文と、本文から計算したハッシュ値を秘密鍵で暗号化したものを送るね。公開鍵で復号化したハッシュ値がそっちで計算したハッシュ値と同じなら本文は改竄されてないよ。
それからこの暗号化は僕しかできないから確かに僕から送られた文書、僕から送られた内容であると保証できるよ。(電子署名)
この「電子署名」の実現により、さらに次のような応用が可能になる。
(e)ログイン時に毎回パスワードを打つと見られたりして危険だからユーザ名等に署名したものを送るね。公開鍵で復号(検証)OKならログインさせて(公開鍵認証)
(f)僕は信頼できるよ。これがAさんの署名入りのお墨付き。検証してみて。
Aさんは信頼できるよ。これがBさんの署名入りのお墨付き。検証してみて。
Bさんは信頼できるよ。これが世界一信頼できる人の署名入りのお墨付き。検証してみて。
(サーバ証明書)
前項のようなやりとりはほとんどアプリが自動的にやってくれるので、コンピュータ技術者以外の人が公開鍵や秘密鍵を直接扱う機会は現状ほとんどないと思う。
ウェブブラウザのアドレス欄に鍵マークが表示されていたらそれは鍵交換やサーバ証明書技術が使われていて、鍵マークを右クリックすると証明書を表示できる。
メールアプリでも最近は自動的に鍵交換やサーバ証明書が使われている。
もしメールアプリにPGPの設定オプションがあればそこで公開鍵と秘密鍵を設定すると特定の相手と本格的な暗号化メールがやり取り可能になる。
サーバ操作するコンピュータ技術者だと公開鍵認証もよく使われていて、ツールで生成した公開鍵をサーバに登録してログインに利用してる。
それだと多分後者なのかな。
具体的なシチュエーションとか、何が起こってその鍵で暗号化複合化できるのかの下地が分からない。
自分でパスワード作って、それを人に教えること?このファイルを見たければ教えといたパスワード入れろとかそういう話?
公開鍵と秘密鍵を作るってどうやって?何したの?どこで作って何が出てきたの?
公開鍵教えてもらったってそれはパスワードを知ったってこと?それとも機械が勝手になんか処理してるって話?別の人は見ることと暗号化できるっていうのは、復号化できることと何が違うの?
>Alpha-ROM、LITEON48倍速、CD Manipulatorなどの単語に聞き覚えるあるお前、おそらくは共犯者だ。
全てCDイメージをまるごとコピーしてCDに焼き直せるソフトだろうか?
>天使炎
angelfire? そういう名前のファイル偽装?復元?ソフトがあった?
>鳥
トリップのことか? 例えば、ファイルをどこかへアップロードし、パスワードをかけて、そのパスワードでトリップを作成する。トリップを見た人は、トリップからパスワードを解析してファイルを手に入れる。……とか
?
>洋塩
ようえん? ようしお? なんとなく、「和塩(わしお)」という単語もあって、それに対比する何かのような気がするが。洋物エロのこと?
>愛銅鑼
あいどら? IDOL-Aとか、そういうファイルアップロードサイトがあった? ……いや違う。そうか、アイコラの言い換えか?
「生体シグナルや脳」は、生体認証の方が優秀だからそちらを先に書いただけで、従来のパスワードやPIN、パターンコードなどは脳の方に含まれる。
身体や脳という自己の外にセキュリティの要衝を置く外部サービスは、この場合脳の代わりにクラウドにパスワードを記憶させているということだから、それは怠惰と言えるという話であって、文章に繋がりはある。
また「思うな。」だからこれは個人の意見であり、他人に強制しているわけではないので気分を害する必要はない。実際現代のブラウザはパスワード記憶機能を持つものがほとんどであり、自分で記憶しておかないのが怠惰だという論はマイナーであり、管理されることによるセキュリティメリットの方が上回るようなパスワードの運用をしてきた人の方が多いという認識は持っている。
知らんわ生体認証を採用していないこの世のほぼ全てのWebサービスにでも言っとけアホ
前の文との繋がりも意味不明だわ
完全ランダムではないがランダムに見えてサービスごとに異なる(けど自分には規則性が分かる)十分な長さのパスワードを作ることはそんなに高度な知能や記憶力を必要としないよ。
だから勝手に数百個被りなくパス作って書かずに覚える縛りプレイしとけっての
なんだこいつ何が言いたいのか全くわからん
セキュリティは最終的に身体(生体シグナルや脳)に行き着くべきで、その身体性の限界がセキュリティの限界だと思ってるから、管理サービスに依存するのは俺的には怠惰でしかないと思うな。
完全ランダムではないがランダムに見えてサービスごとに異なる(けど自分には規則性が分かる)十分な長さのパスワードを作ることはそんなに高度な知能や記憶力を必要としないよ。
まあパスワード見破りAI的な代物には負けるかもしれず流出に対して盤石とは言えんから、ID相当のメールアドレス側にもなるべくバリエーションはもたせてるけどね。
使う?
そのツールが入ってPCだけを使い続けるならともかくあれこれ使ってるとまずそのツール入れないと何もできないってなるの嫌だし
そのツールが使えないと何もできない状況になりたくない
https://anond.hatelabo.jp/20200525021541
そういえば自分が使ってるサービス・ソフトウェアは定期的に棚卸しすることにしてるんだけど、ここ何年かやってなかったのでこの機会にやってみる。
アプリとかもあったりするけど基本的にWebでサービス提供されているもの。
順番は適当。
有料プランがある物は月500円ぐらいまでなら応援を兼ねて払うことにしているので、結構色々なサービスの有料ユーザになってる。
自分用のまとめではスマホアプリ編・ブラウザ拡張編・ソフトウェア編もあるけど、長くなるのでこの辺で。
RoamResearchとかどう? まだβだけどメモに良いよ。
ありがとう、良さそうだし少し試してみるよ。
ぜひ続きをお願いしたいわ
ただ自分用のやつは説明がないかあっても自分向けで簡素だから、書き足す時間があればまた増田にでも投げるよ。
え、マジすか、それは痛い。
iPhone次に買い換えるまでに復活して欲しいなぁ。同じく金なら出す。
昔務めた職場が良く言えばアットホーム、悪く言えば公私混同の中小企業で、とても”ゆるい職場”だった。
勤務態度についてはあまりとやかく言われず、フレックス制では無いにも関わらず、始業時間を過ぎてパラパラ出社する社員が年齢問わずおり、業務時間中の就寝、外出は黙認されていた。
また職種上セキュリティに関しては厳しいはずなのに、重要なパスワードが社内の壁に貼られて一般公開されていたり、メールの誤送信が頻発していた。(いずれも大事には至っていなかった)
一例を挙げる。
・男性社員の一部は先輩社員の私用に駆り出され、休日に祭りに参加したり、政治活動に参加した。
・休日には役員のお花見会があり、若手女性社員が仲居さんとして駆り出された。当然休日出勤扱いではない。
・独身寮では同棲する社員も多く、寮はピンクハウスと呼ばれていた。
・ある役員は、部下の結婚式でスピーチをした際に、新郎にあたる部下を下げて笑いを取ろうとしたため、新郎の親戚一同が気まずい空気になってしまった。(そりゃそうだ。)
・飲み会で女性社員の太ももにタッチする先輩男性社員がいたり、男性管理職の膝の上に座る若手女性社員がいた。
・酒乱社員がおり、飲み会で具合の悪くなった若手を放置して2件目に行こうとしたり、食器を破損したりした。(保護責任者遺棄や器物損壊では?)
・男性社員の一人は社内結婚したにも関わらず社内で「良い店(風俗)ありませんか?」と聞いたり、共に終電を逃した女性社員に「金欠だからビジネスホテルで同室を取ろう」と声をかけていた。
・恋心を拗らせた男性社員が女性社員にストーカー行為をし、周囲の社員はそれを煽った。
・アダルトサイトのVIP会員である男性社員が、動画を他の社員に横流ししようとした。(違法では?)
・その他各種ハラスメントやいじめは完備しており、管理職・人事担当者も率先して参加していた。
このように書くと「所謂”底辺”の集まりでしょ?」と思われるかもしれないが、社員の学歴だけ見れば決して”底辺”ではなかった。
役員は大手企業出身者が多く早慶レベル以上、中堅社員以下は国公立大から早慶辺りが多かった。
中小企業だったので、もしかすると、採用担当者が悪趣味過ぎたのかもしれないし、中核社員のモラル意識の低さがそのまま社風に反映されたのかもしれなかった。
5chにあつまれどうぶつの森の森のおでかけ用スレッドがあるんだ。
そこは島に観光しに来てほしい島主がパスワードを公開して、おでかけしたい人はそれを使って観光にしに行くだけの平和なスレッドだったんだけど最近厄介な嫌がらせを受けている。
そのスレで公開されているパスワードをTwitterの捨て垢や他所の掲示板を使って「カブ価600ベルです!ご自由にどうぞ!パスワードは○○・・・」と全く嘘の告知で公開して、島にカブ売買目当ての人を呼び込む手法だ(島主もカブ売買目当ての人も被害を受けている)
不特定多数を島に呼ぶ関係上、パスワード公開は避けられないがパスワード転載に有効な対抗手段がない状況でただ観光したい人が困っている状況(あつまれどうぶつの森のパスワードの仕組み自体がパスワード転載に脆弱すぎるのが根本原因)
プログラミング言語を印象批評している記事に触発されて、自分も印象批評してみようと思う。
JavaScript以外にもブラウザ上でぐりぐりするのにはJava AppletとかFlashとかSilverlightとかいろいろあったけれど、結局標準化を成し遂げたHTML5に淘汰されちゃった感じがする。LiveScriptからJavaScriptに改名されたり、規格を話すときはECMA Scriptだったりといろんな別名を持つ。一応、プロトタイプベースのオブジェクト指向言語なんだけれど、それを意識してコードを書く人がどれくらいいるかは謎。
Pythonは小さいコードを書くのには楽だけど、これで大きなコードを書くと思わぬ変更で思わぬことが起きるのでつらい。しばらく使うとPythonイヤイヤ病にり患し、goを使うようになるらしいとか、ならないとか。pythonで大規模なコードを万一書こうと思うなら、カバレッジが高いテストを書いてくれと思う。
Javaは初期のころオートボクシング / アンボクシングもなく、ストイックなオブジェクト指向言語だった記憶がある。ただ、staticを多用してオブジェクト指向とは程遠いコードも簡単に書けるので、Javaで書いているからと言ってオブジェクト指向だと思うのは禁物である。
PHPはWebネイティブな言語で、初期のころHTTP POST/GETなどで渡された変数がそのままプログラム中に出てくる機能や初期化していない変数を最初に使うと空文字列あるいは0で初期化するという機能があった。また、文字列と数字を臨機応変に切り替える機能もあり(今もそうかは知らん)、数字と文字の比較を比較演算子(==)でシームレスにできる。パスワードチェックみたいなコードで===ではなく、==を使っているとPHPを知らないバカ扱いされる。
C#はHello Worldくらいしか書いたことないから知らん。monoのような互換環境があるのは知っているけれど、わざわざPC Unix上でmonoを使う気分にはなれなかった。
C++は黎明期に使った感じと、C++11以降に使った感じが驚くほど違う言語。今はかゆいところには大抵STLで手が届くし、autoを使えばイテレーションで腱鞘炎になることもない。PC Unixにも最初から環境がインストールされているか、簡単にインストールできるので毛嫌いせず使うとよいと思う。
Rubyはぎょっとする変更をよくやるというイメージ。これで書かれたプログラムを長年愛用してきたが、ぎょっとした変更を入れられて動かなくなったのでgoで書き直した。その点ではpythonも3でおいていかれたので嫌い。
TypeScriptは書いたことないから知らない。JavaScriptだと大規模コードを書くとつらいのでTypeScriptを使おうという人がいるのは知っている。大規模なコードを書くとしたら、インタフェースに合った呼び出しかコンパイル時にチェックしてくれるような強く片付けされた言語のほうがよくなってくるというのはわかる。
Cは片付けし、構造化したプログラムを書きやすくしたアセンブラ...というイメージだったんだけど、C99くらいから便利機能がいろいろ入ってそうでもない感じになった印象。昔はCのコードを見たら最適化した後のx86アセンブリが見えていたんだけれど、最近は見えなくなってしまった。子供のころ、本屋で秘伝C言語問答 ポインタ編に出会ったのがこの業界に入るきっかけだったのかもしれない。ほかの言語でいろいろ楽に書けるから、カーネルをいじるか、システムコールをたたくかするときくらいしか自分の中では出番がなくなってしまった。
これ以下のランキングのもその気になったら書こうかな。
この利用規約(以下,「本規約」といいます。)は,勉強集中アプリ(以下,「当社」といいます。)がこのアプリ上で提供するサービス(以下,「本サービス」といいます。)の利用条件を定めるものです。登録ユーザーの皆さま(以下,「ユーザー」といいます。)には,本規約に従って,本サービスをご利用いただきます。
第1条
第1項(適用)
本規約は,ユーザーと当社との間の本サービスの利用に関わる一切の関係に適用されるものとします。
当社は本サービスに関し,本規約のほか,ご利用にあたってのルール等,各種の定め(以下,「個別規定」といいます。)をすることがあります。これら個別規定はその名称のいかんに関わらず,本規約の一部を構成するものとします。
本規約の規定が前条の個別規定の規定と矛盾する場合には,個別規定において特段の定めなき限り,個別規定の規定が優先されるものとします。
第2項(利用登録)
本サービスにおいては,登録希望者が本規約に同意の上,当社の定める方法によって利用登録を申請し,当社がこれを承認することによって,利用登録が完了するものとします。
当社は,利用登録の申請者に以下の事由があると判断した場合,利用登録の申請を承認しないことがあり,その理由については一切の開示義務を負わないものとします。
ユーザーは,自己の責任において,本サービスのユーザーIDおよびパスワードを適切に管理するものとします。
ユーザーは,いかなる場合にも,ユーザーIDおよびパスワードを第三者に譲渡または貸与し,もしくは第三者と共用することはできません。当社は,ユーザーIDとパスワードの組み合わせが登録情報と一致してログインされた場合には,そのユーザーIDを登録しているユーザー自身による利用とみなします。
ユーザーID及びパスワードが第三者によって使用されたことによって生じた損害は,当社に故意又は重大な過失がある場合を除き,当社は一切の責任を負わないものとします。
第4項(利用料金および支払方法)
ユーザーは,本サービスの有料部分の対価として,当社が別途定め,本ウェブサイトに表示する利用料金を,当社が指定する方法により支払うものとします。
ユーザーが利用料金の支払を遅滞した場合には,ユーザーは年14.6%の割合による遅延損害金を支払うものとします。
第5項(禁止事項)
ユーザーは,本サービスの利用にあたり,以下の行為をしてはなりません。
本サービスの内容等,本サービスに含まれる著作権,商標権ほか知的財産権を侵害する行為
当社,ほかのユーザー,またはその他第三者のサーバーまたはネットワークの機能を破壊したり,妨害したりする行為
本サービスの他のユーザーまたはその他の第三者に不利益,損害,不快感を与える行為
当社が許諾しない本サービス上での宣伝,広告,勧誘,または営業行為
当社のサービスに関連して,反社会的勢力に対して直接または間接に利益を供与する行為
当社は,以下のいずれかの事由があると判断した場合,ユーザーに事前に通知することなく本サービスの全部または一部の提供を停止または中断することができるものとします。
本サービスにかかるコンピュータシステムの保守点検または更新を行う場合
地震,落雷,火災,停電または天災などの不可抗力により,本サービスの提供が困難となった場合
当社は,本サービスの提供の停止または中断により,ユーザーまたは第三者が被ったいかなる不利益または損害についても,一切の責任を負わないものとします。
当社は,ユーザーが以下のいずれかに該当する場合には,事前の通知なく,ユーザーに対して,本サービスの全部もしくは一部の利用を制限し,またはユーザーとしての登録を抹消することができるものとします。
1–5. 本サービスについて,最終の利用から一定期間利用がない場合
1–6. その他,当社が本サービスの利用を適当でないと判断した場合
2.
当社は,本条に基づき当社が行った行為によりユーザーに生じた損害について,一切の責任を負いません。
第8項(退会)
ユーザーは,当社の定める退会手続により,本サービスから退会できるものとします。
当社は,本サービスに事実上または法律上の瑕疵(安全性,信頼性,正確性,完全性,有効性,特定の目的への適合性,セキュリティなどに関する欠陥,エラーやバグ,権利侵害などを含みます。)がないことを明示的にも黙示的にも保証しておりません。
当社は,本サービスに起因してユーザーに生じたあらゆる損害について一切の責任を負いません。ただし,本サービスに関する当社とユーザーとの間の契約(本規約を含みます。)が消費者契約法に定める消費者契約となる場合,この免責規定は適用されません。
前項ただし書に定める場合であっても,当社は,当社の過失(重過失を除きます。)による債務不履行または不法行為によりユーザーに生じた損害のうち特別な事情から生じた損害(当社またはユーザーが損害発生につき予見し,または予見し得た場合を含みます。)について一切の責任を負いません。また,当社の過失(重過失を除きます。)による債務不履行または不法行為によりユーザーに生じた損害の賠償は,ユーザーから当該損害が発生した月に受領した利用料の額を上限とします。
当社は,本サービスに関して,ユーザーと他のユーザーまたは第三者との間において生じた取引,連絡または紛争等について一切責任を負いません。
当社は,ユーザーに通知することなく,本サービスの内容を変更しまたは本サービスの提供を中止することができるものとし,これによってユーザーに生じた損害について一切の責任を負いません。
当社は,必要と判断した場合には,ユーザーに通知することなくいつでも本規約を変更することができるものとします。なお,本規約の変更後,本サービスの利用を開始した場合には,当該ユーザーは変更後の規約に同意したものとみなします。
当社は,本サービスの利用によって取得する個人情報については,当社「プライバシーポリシー」に従い適切に取り扱うものとします。
第13項(通知または連絡)
ユーザーと当社との間の通知または連絡は,当社の定める方法によって行うものとします。当社は,ユーザーから,当社が別途定める方式に従った変更届け出がない限り,現在登録されている連絡先が有効なものとみなして当該連絡先へ通知または連絡を行い,これらは,発信時にユーザーへ到達したものとみなします。
ユーザーは,当社の書面による事前の承諾なく,利用契約上の地位または本規約に基づく権利もしくは義務を第三者に譲渡し,または担保に供することはできません。
本サービスに関して紛争が生じた場合には,当社の本店所在地を管轄する裁判所を専属的合意管轄とします。
以上
教育業界の話なんだけど、だいぶ前からオンライン担当だったのよ。本体の100分の1とかの規模。1人で始めてコツコツ増やしてやっと先生4人、無邪気に喜んでたのさ。そしたら自粛。谷みたいな暗い所に居たら出っ張ってる山削られてフラットに。てかピッチャーマウンド程度の山の上。お前ら何やってたんだよ。紙配って、喋って終わり。2階の印刷機の方が速い?4階のマイクは2個目使用してください、1個目ノイズ入ります?そういう細かいとこ、大事だけど、おいおい!おいおい!こっちからGmailアドレス付与したので、ログインお願いします、OneDriveにアクセスお願いします、classroomのスレッド、2要素ログイン、パスワード、なんなんだよ!!
す う ね ん ま え か ら お ね が い じ で 、 ば 、 ぶ 、 ぶ 、 ぶーーーーー!
助けられた。