matsutakegohan1's blog

matsutakegohan1(きゅーぞう)による、釣り、狩猟、技術?、セキュリティ?、その他の話

セキュリティ

サービスごとに異なる安全なパスワードの作り方(修正)

投稿日:

不正ログインが流行っています。
私達ユーザーにできることは、パスワードをサービスごとに異なるものを使うようにすることぐらいです。

「サービスの数だけパスワードなんて覚えられないよ!」
そのとおりだと思います。
なので「覚えられる」のに、サービスの数だけ異なるパスワードを作る方法を提案します。

今回は、過去にまとめた私の考えを修正して再掲します。
ENTER YOUR PASSWORD
ENTER YOUR PASSWORD / marc falardeau

サービスごとに異なる安全なパスワードの作り方

  1. 基本文字列+自分のアルゴリズム だけを記憶する。
  2. 対象サービスによって、アルゴリズムをもとにパスワードを作成する。

詳細

基本文字列

基本文字列は2つか3つ用意します

  • 記号混じりで8文字以上の十分に長いもの(例:vigimay0! => VIdeo GIrl MAji YOkattta !)
  • 英数字のみの8文字以下の短い物(例:JumaSu => JUnp magazine sunday)
  • 上記に大文字などを追加した物(例:M0NAyota => MO te NA i YOTA)

アルゴリズム

アルゴリズムは何でもいいがサービス固有の何かが良いです。

たとえば以下の様なものです。

  • サービス名の頭文字を基本文字列の真ん中に入れる
  • サービス名の頭文字を3文字ずらしたもの(a->d)を基本文字列の最後に入れる
  • サービス運営会社の頭3文字を基本文字列の最初に入れる。

例題

基本文字列  : JumaSu
アルゴリズム : サービス名の頭文字2文字を、パスワードの先頭にくっつける。2文字目は大文字にする。

Yahooで使うパスワード   : yAJumaSu
facebookで使うパスワード : fAJumaSu
googleで使うパスワード  : gOJumaSu

*必ずこれと違う文字列、もっと難しいアルゴリズムを使って下さい。

基本文字列にパターンが必要な理由

パスワードは会社によって、どんな文字を入れることができるか決まっていることが多いです。
英数字しかダメなサービスも有ります。記号や大文字が必須のサービスも有ります。

どうしてこう言うことが必要なの?

インターネットを生きる上で1つのパスワードで生きることはリスクの多いことです。

多くのセキュリティ専門家はサービスごとに異なるパスワードを設定することを勧めます。
それは当然のことで、いくつもあるサービスのうちの1つのサービスがID/PASSを流出させたとき、すべてのサービスで攻撃が可能なことは恐ろしいことです。

様々な会社は、様々な方法で皆さんの情報を守ろうとしてくださっています。
しかし守りは難しい。攻める方は何回でもミスをしてよいですが、守る方は1つでもミスをしたら負けます。
それを、あなたがパスワードを使いまわした会社の分だけ、攻撃者にはチャンスが有るのです。

あるセキュリティ専門家は3つ程度のパスワードを使い回すことを推奨しています。
危ないところ用、普通のところ、信頼できるところ。
これは信頼できるところは、信頼できるだけのシステムを組んでいるか、ら流出リスクが少ない。
ゆえに使いまわしても良いという考え方だと思います。

そもそもパスワードとは何かというと、その人のみが知り得る情報をもってシステムはアクセスしてきた人が、その人であると判断するためのものです。
残念なことに人間は記憶できる量はだいたい決まっていますので、その人のみが知り得る情報は無限に増やせません。
このため、憶えることをパスワードそのものではなくて、パスワードを作り出すルールにするということが今回の趣旨です。

困るとき

サービス名に依存したアルゴリズムですと、サービス名が変更されたとき困ります。
voxがtypepadになる時などです。
こういう時はすみやかにパスワード変更をするべきですがそうもいかないでしょう。
それにしても過去のサービス名は思い出せるはずなのでそこでなんとかなるかなと思います。

この方法で作られがパスワードが攻略されるとき

アルゴリズムが漏洩したケースは問題になるでしょう。
自分のアルゴリズムが漏洩するには以下のようなケースがあります

  • 自分が話してしまう
  • アルゴリズムを書いたメモを無くした
  • 複数のパスワードが漏洩してそこから推定された

どれも旧来のパスワードでもある問題点かそれ以上です、標的型で攻撃されそうな偉い方以外は安全でしょう。

次の世代

本人のみが知り得る情報はパスワードのみというのは思い込みかもしれません。
例えばgmailのメールアドレスは 自分のアカウント名+自由な文字列@gmail.com はすべて自分のアドレスに転送されます。
これももしかしたら アカウント名+サービス名を種とするアルゴリズム@gmail.com とすることで、より強固なID/PASSが作れるかもしれません。
しかし人間の憶える情報力は変わりません。

残念ながら+は世界共通の仕様ではなくメールアドレス欄に+を許容しないシステムはまだまだ多いのが現状のため、IDも可変にすることは現時点ではおすすめしません。

まとめ

  • そろそろ共通のパスワードから卒業しよう

-セキュリティ

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

idcon #10

例によっていつものメモをそのまま公開メモが少ないところは仕事してました。 —– toru maesaka google account toolkitのはなし、途中からだったの …

no image

AVTOKYO 2010

はせがわようすけ IEへの腐ったミルク攻撃 難解セキュリティ jjencodeで難読化されたコードが実際の攻撃に利用された IE6 MUST DIE IE7,8もひどいです IE9に向けて 放置された …

no image

OWASP Japan 1st meeting

http://atnd.org/events/26267   Introduction 可視化することでセキュリティのリスクを議論することができます。 OWASPのプロジェクトは140程度 …

no image

AVTokyo 2011 The Story behind The Story of Cyber Crime by daiki.fukumori

相変わらずのメモのだだばり。 —— チュニジアのハッカー文字、ギャル文字みたいなもの haAAAQ3d -> hacked r5t -> random string …

no image

ブラックハットジャパンその後2011

恒例のメモをそのままアップ   ブラックハットジャパンその後2011 まっちゃ After A.D.200X 最近のセキュリティ勉強会では不正アクセス禁止法を知らないんじゃないかというネタ …

第一精工の高速リサイクラーはすべての釣り人の必需品だと思っています。糸の巻き替え、巻き直しにこれが在るのと無いのでは天地の差があります!

シマノの防水クッションは、すべての時期で船釣りのオトモ。一番小さいサイズで大抵大丈夫です。冷えから守ってくれたり、エンジンの振動から守ってくれたり、寝るときに枕になります。

%d人のブロガーが「いいね」をつけました。