パスワード何個持ってますか? | A Day In The Boy's Life
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

A Day In The Boy's Life

とあるエンジニアのとある1日のつぶやき。

パスワード何個持ってますか?

情報機器にアクセスする際の認証と言えば大部分でIDとパスワードによるものになります。

銀行のシステムなど一部で、バイオメトリクス認証 などの方式が取られているものはありますが、全体に比べればごくごく一部です。

Webシステムにおいては、さらに顕著となります。


さて、このパスワードの管理の重要性については、色々なサイトで語られているところですがどれくらい強力なものを作ればよいのでしょうか?

Microsoftのページ 内では、その作り方を幾つか掲載しています。


ただ、このような作り方をした場合、自分にとって非常に管理しづらいパスワードが出来上がって来る事になります。

先ほどのページ内に書かれているような項目を全て満たすと言う事は、それなりに複雑なパスワードが出来上がりますし、それを複数のサイトごとに分けて管理しようとして、記憶に頼るのも難しい場合が多いでしょう。


※ 先ほどIDとパスワードによる認証と書きましたが、ではIDは重要視されていないのでしょうか?

  IDについてあまり語られない理由には、IDがシステムにより固定されて発行される場合が多く、またそうでないと

  しても推測しやすかったり明らかになってたりする場合があるためです。

  例えば、社員が利用するシステムのIDは社員番号を利用する場合が多くあります。

  一般のサービスを提供する際に発行されたIDに関しても、例えば「1002」というIDが割り振られた場合、

  「1001」や「1003」というIDが存在する事は推測可能です。

  さらに、このAmebloのようにIDが公開されている場合もあります。

  ただ、IDが重要ではないと言う事自体が間違いで、IDも含めてもっと複雑化・隠蔽して管理する事が望ましい

  です。(システムの構成はそうなっているべきだと思います)


では、このようなパスワードの管理をどう行えばよいでしょうか?

先ほども述べたように記憶に頼る事には限界があったりします。

また、人間が作り出すパスワードは大部分で、人間が理解できるフレーズで構成されるため辞書攻撃などによって解析される恐れもあります。

かといって、複雑化すると覚えられないためパスワードを管理するためのツールが必要になってきたりします。

そういった場合は、こちらで紹介されているツールなどを利用すると管理の負荷が軽減できます。


パスワード、記憶に頼っていて大丈夫? / @IT


ここで、紹介されている「KeePass Password Safe 」は、こうしたパスワードを保存してくれるDBツールとして利用できます。

また、任意のパスワードを自動的に生成してくれる上に、何に利用するかの紐付けを行う事ができます。

パスワードをクリップボードにコポーする事が可能なので、そこからパスワードを取り出し利用する箇所に貼り付ける利用方法なら、そもそもパスワードを覚える必要はありません。

(当然ですが、KeePass Password Safeを開く際に必要なパスワード1つは最低覚える必要があります)


ただ、このツールはWebシステムに対応できるようにURLを管理項目に追加できるようになっていますが、この機能の一つとして存在する、IDとパスワードの「自動入力の実行」は、危険を伴うので注意が必要です。

これを実行すると、アクティブになっているブラウザにIDとパスワードが自動的に入力され、さらにフォームが切り替わる(「送信」ボタンを押すと同様のアクション)が行われます。

ただ、明確にIDはフォーム上のここ、パスワードはここ、と言うように指定しているわけではなく上から順に見つけフォームにIDとパスワードを入力して勝手に送信します。

アクティブにしているブラウザがそのIDとパスワードを利用する以外のサイト(例えば検索エンジンとかでも)

勝手に入力されるので、IDとパスワードが外部に漏れる可能性があります。


単純なIDとパスワードの管理用DBツールとして利用する分には強力なツールとなるでしょう。


一方、一般的にPCを使う場合は大部分でWebサイト上でIDとパスワードを入力する事が中心になります。

こういった場合は、それ専用のツールを利用した方が便利です。


ロボフォーム


ブラウザのツールバーにインストールされ、保存されたログイン情報を何時でも呼び出すことができます。

「KeePass Password Safe」と同様に、パスワードのランダム生成やクリップボードへのコピー機能もあります。

フリー版も存在します(ただしログイン情報を10個までしか保存できません)


goo ID


基本的には、ロボフォームと機能的には大差がないですがパスワードの管理機能以外にも、名前や住所を一発登録できる機能などがあります。

Webサイト上では、こうした情報を登録する場合が多いので、こうした機能は多用しそうです。



こうしたツールに頼るのも、セキュリティと快適なネットライフとを共存させるためには必要なものになるかもしれません。



関連記事

システム運用者を苦しめる、システムセキュリティ基準の波