2007年03月07日 - パスワードのメモと、罠としてのトリガーパスワードの提案
パスワードは記憶のみに留めるべきではなく、後々忘却の彼方へ忘れ去られた場合に備え、いずこかへメモすべきである。
だがApple社のガイドは、安直過ぎてヒネリが足りない。
どこのパスワードか簡単に判別できるような場合では、ある意味での「強度」が不足する。
押入れの中なんて論外だ。浮気を疑った夫がmixiのパスワードを探しているやもしれない。
貸し金庫にしたって、死後に家族が取得して判明してしまい、秘密のネット活動がばれてしまうやもしれない。
(やっぱり浮気してたのね!きぃー!って修羅場は、死後であっても避けたいものです。。。。。。。冗談ですよ)
「パスワードを記載した紙の強度」を十分なものにするには、パスワードの記載にヒネリが必要なのだ。
abc1234なるパスワードならば、bcd2345などの1文字ずらしとか。みかか入力でもいい。
(みかかとは、NTTはかな入力で「みかか」と入力されるなどの事例)
そしてダミーとして、どうでもいい下らないサービスのパスワードは、無処理のものを記載しておく。これで重要なアカウントのパスワードは「あれ?この紙のパスワードは古いのか?」と勘違いされて、結果として保護されるやもしれない。
笑われてしまいそうな低レベルでの対策だが、個人レベルであるならばかなり「強度」は増すだろう。
「適切に設定」されているWindowsのログオン画面にてパスワードを一定の数だけ入力ミスしたらば、指定された時間はログインができなくなるだろう。ロックアウトだ。
あと一歩進めてみたらばどうだろうか?
指定された偽パスワードの文字列を入力されたのを確認したらば、ユーザープロファイルを丸ごと削除するとか、指定されたファイル・フォルダを削除・又は暗号化するようなソリューションはどうだろう?
大音量アラームの警報音とか、盗難元企業へのメールか何かでの通知、または自爆?とか。
需要は個人法人を問わず、相応にありそうですね。
盗難対策用ソフトウェアをインストールして、外部へ持ち歩くノートパソコンに自爆的行動をさせるための「トリガーパスワード」を設定したとする。
話は簡単だ。パソコンを格納するバックにメモ用紙を入れておき、そこにパソコンのパスワードであるよう装ったトリガーパスワードを記載しておくだけでいい。パソコンに偽パスワードの付箋紙を貼り付けてもいいし、マジックで書いてもいい。
第三者にパソコンを奪取されたり盗難に遭ったらば、犯人はトリガーパスワードでログオンをすると期待されるようにすれば良い。
後は、偽パスワードたるトリガーパスワードで、予め指定した処理が実行される。
そうそう。
プロバイダーなどが提供するサービスならば、指定したトリガーパスワードでメールの送受信を試みたらば、「誰かが偽パスワードで接続しようとしたぞ!」と通報するサービスがあってもいいだろう。
いいアイディアだと考えているんですが、どうでしょうか。
WindowsXPがパスワード情報を送信する話(2004年09月29日)(Semplice)
だがApple社のガイドは、安直過ぎてヒネリが足りない。
Appleは同社のウェブサイトMac 101に「My Mac Cheat Sheet」(PDFファイル)という文書を掲載している。その文書には、Mac OS X関連のユーザー名やパスワードだけでなく、電子メール、ISP、ルーターなどのログインアカウントを書きとめておく欄もある。
Appleはウェブサイトで「あなたや、Macに詳しいあなたの家族や友人のMacライフが少しだけ楽になるよう、忘れやすい情報を記入して安全な場所に保管しておくためのフォームを用意しました」と説明している。
Appleはどうかしてしまったのではと思うかもしれないが、そうではない。パスワードを付箋に書いてコンピュータのモニタやキーボードに貼り付けておくのは賢明ではないが、情報を書きとめて安全な場所に保管しておくのは有益である。
「パスワードは書きとめて」:アップル、Macユーザーにアドバイス(CNET Japan)
どこのパスワードか簡単に判別できるような場合では、ある意味での「強度」が不足する。
押入れの中なんて論外だ。浮気を疑った夫がmixiのパスワードを探しているやもしれない。
貸し金庫にしたって、死後に家族が取得して判明してしまい、秘密のネット活動がばれてしまうやもしれない。
(やっぱり浮気してたのね!きぃー!って修羅場は、死後であっても避けたいものです。。。。。。。冗談ですよ)
「パスワードを記載した紙の強度」を十分なものにするには、パスワードの記載にヒネリが必要なのだ。
abc1234なるパスワードならば、bcd2345などの1文字ずらしとか。みかか入力でもいい。
(みかかとは、NTTはかな入力で「みかか」と入力されるなどの事例)
そしてダミーとして、どうでもいい下らないサービスのパスワードは、無処理のものを記載しておく。これで重要なアカウントのパスワードは「あれ?この紙のパスワードは古いのか?」と勘違いされて、結果として保護されるやもしれない。
笑われてしまいそうな低レベルでの対策だが、個人レベルであるならばかなり「強度」は増すだろう。
指定した処理を実行させるためのトリガーパスワードなるアイディア
「適切に設定」されているWindowsのログオン画面にてパスワードを一定の数だけ入力ミスしたらば、指定された時間はログインができなくなるだろう。ロックアウトだ。
あと一歩進めてみたらばどうだろうか?
指定された偽パスワードの文字列を入力されたのを確認したらば、ユーザープロファイルを丸ごと削除するとか、指定されたファイル・フォルダを削除・又は暗号化するようなソリューションはどうだろう?
大音量アラームの警報音とか、盗難元企業へのメールか何かでの通知、または自爆?とか。
需要は個人法人を問わず、相応にありそうですね。
盗難対策用ソフトウェアをインストールして、外部へ持ち歩くノートパソコンに自爆的行動をさせるための「トリガーパスワード」を設定したとする。
話は簡単だ。パソコンを格納するバックにメモ用紙を入れておき、そこにパソコンのパスワードであるよう装ったトリガーパスワードを記載しておくだけでいい。パソコンに偽パスワードの付箋紙を貼り付けてもいいし、マジックで書いてもいい。
第三者にパソコンを奪取されたり盗難に遭ったらば、犯人はトリガーパスワードでログオンをすると期待されるようにすれば良い。
後は、偽パスワードたるトリガーパスワードで、予め指定した処理が実行される。
そうそう。
プロバイダーなどが提供するサービスならば、指定したトリガーパスワードでメールの送受信を試みたらば、「誰かが偽パスワードで接続しようとしたぞ!」と通報するサービスがあってもいいだろう。
いいアイディアだと考えているんですが、どうでしょうか。
関連記事
WindowsXPがパスワード情報を送信する話(2004年09月29日)(Semplice)
この記事へのコメント
確かに、貸金庫でも死後の扱いってのはありますよね。
まぁ、あっちで書いた話としては、会社とか仕事上のパスワードの扱いのつもりだったので、個人の隠しておきたい、いやーんなものに関してはむしろどこにも書きとめない方向のほうが幸せだと思います 笑
あと、パスワード間違いでメールがしがし飛んでくると、ある意味DoS攻撃的な気がしないでもないので、そこんところはもうちょっと考える必要がありそうかなとか。
パスワード間違いで自爆→データ消去だとリカバリー要する時間を考えると、業務妨害できそうとか(ぁぅ
まぁ、あっちで書いた話としては、会社とか仕事上のパスワードの扱いのつもりだったので、個人の隠しておきたい、いやーんなものに関してはむしろどこにも書きとめない方向のほうが幸せだと思います 笑
あと、パスワード間違いでメールがしがし飛んでくると、ある意味DoS攻撃的な気がしないでもないので、そこんところはもうちょっと考える必要がありそうかなとか。
パスワード間違いで自爆→データ消去だとリカバリー要する時間を考えると、業務妨害できそうとか(ぁぅ
Posted by はなずきん
at 2007年03月07日 23:02
Appleの個人向けのMy Mac Cheat Sheetはあまりにも詳細すぎるので、多少怖いですね。
職場でならば、権限のある方や役員のみ開錠できる金庫に文書化したパスワードを保存するのはむしろ「やった方がいいんじゃないか」と自分は考えてます。
>パスワード間違いでメールがしがし飛んでくると
いえ、ちょっと違うんですよ。
予め指定した「偽パスワード」である「トリガーパスワード」が入力された場合です。
職場でならば、権限のある方や役員のみ開錠できる金庫に文書化したパスワードを保存するのはむしろ「やった方がいいんじゃないか」と自分は考えてます。
>パスワード間違いでメールがしがし飛んでくると
いえ、ちょっと違うんですよ。
予め指定した「偽パスワード」である「トリガーパスワード」が入力された場合です。
Posted by Luca
at 2007年03月08日 07:21
USBメモリーキーなどにバンドルされている「ファイル暗号化ソフトウェア」などであれば、盗難時に有用な対策となるような気がしました。
パスワード入力画面で、パスワードを忘れた際に事前に登録したヒントを表示できるソフトウェアがあるんですが。
この延長のノリで、トリガーパスワードへ誘導させるための嘘ヒントを登録してと。
パスワード入力画面で、パスワードを忘れた際に事前に登録したヒントを表示できるソフトウェアがあるんですが。
この延長のノリで、トリガーパスワードへ誘導させるための嘘ヒントを登録してと。
Posted by Luca
at 2007年03月08日 20:03
結局最もセキュリティが高いデータ保存は、紙で保存することで、それを物理的に管理することに収束するように思います。
紙ならば、簡単に大量に盗み出すことも不可能ですからね。
電子的な保存は、何年保つか不明だし、便利なようで却ってセキュリティという面ではマイナスです。
世の中悪い輩がいるから、結局文明の利器も人類にとって危険なものになるのです。
紙ならば、簡単に大量に盗み出すことも不可能ですからね。
電子的な保存は、何年保つか不明だし、便利なようで却ってセキュリティという面ではマイナスです。
世の中悪い輩がいるから、結局文明の利器も人類にとって危険なものになるのです。
Posted by ベルモンツ
at 2007年03月08日 23:37
長期に渡って保存できる点では、紙は優れてはおりますね。
個人レベルと業務の話がやや混ぜこぜになってしまったんですが。
自分は(個人レベルで利用されるであろう)My Mac Cheat Sheetの利用は、かなりリスクが高いと判断しました。
1枚で丸裸になってしまうようなシートは、残すべきではありません。
あまりにも「やり過ぎ」なんですよ、Apple社は。
せめて2枚組みにして、アカウントとパスワードは別紙にできないかしらと。
個人レベルと業務の話がやや混ぜこぜになってしまったんですが。
自分は(個人レベルで利用されるであろう)My Mac Cheat Sheetの利用は、かなりリスクが高いと判断しました。
1枚で丸裸になってしまうようなシートは、残すべきではありません。
あまりにも「やり過ぎ」なんですよ、Apple社は。
せめて2枚組みにして、アカウントとパスワードは別紙にできないかしらと。
Posted by Luca
at 2007年03月10日 05:16
セキュリティって、既にそれを組み込んであるって公言するだけで、数段効果が落ちますよね。
いいアイデアなものの、本気でデータが欲しい人には微妙に役に立たない気がします。
むしろそれよりは、トラッキングデバイスの追加の方が役に立ちそう。
いいアイデアなものの、本気でデータが欲しい人には微妙に役に立たない気がします。
むしろそれよりは、トラッキングデバイスの追加の方が役に立ちそう。
Posted by
at 2007年04月03日 21:22
罠目的でありますので、導入したと公言したらば格段に効果は落ちるでしょうね。
存在意義そのものが消失するかと。
>トラッキングデバイスの追加の方が役に立ちそう
どちらがどれだけ役に立つとかではなく、利用目的とか視点そのものが全く違いますので。
機能として付記したらば面白いでしょうけど。
存在意義そのものが消失するかと。
>トラッキングデバイスの追加の方が役に立ちそう
どちらがどれだけ役に立つとかではなく、利用目的とか視点そのものが全く違いますので。
機能として付記したらば面白いでしょうけど。
Posted by Luca
at 2007年04月03日 21:44
でも今のセキュリティはいたちごっこだから、いずれは突破される恐れもあります・・・。しかも、個人情報満載・・・。怖い・・・。自分としての意見は、ちゃんと暗号化して、それも無線LANのようにTKIPとかWESとかいうようなものを採用すればいいとおもいますが、実用化は無理かな?
Posted by ひろゆき
at 2007年04月04日 22:22
WindowsOSでのログオンパスワードはパスワードそのものを保存させず、ハッシュ値を保存してますね。
Posted by Luca
at 2007年04月05日 19:14
みんながNTLMハッシュならばいいのですが、運用の関係でLMハッシュ使用者。ローカルでマシンにさわられたらアウトです。
Posted by mash
at 2007年04月05日 22:52
うーん、それは難儀ですね。
第三者に直接操作されてしまうのは、避けたいものです。
第三者に直接操作されてしまうのは、避けたいものです。
Posted by Luca
at 2007年04月06日 06:39
