«前の日記(2006-12-07 (木)) 最新 次の日記(2006-12-24 (日))»  

まちゅダイアリー


2006-12-13 (水)

パスワードの選び方

とりとめもなく日記的雑記: 俺流:優れたパスワードの選定と記憶法にて、ITmedia Biz.ID:優れたパスワードの選定と記憶法が紹介されていた。 そこでは、『「すべてに同じパスワード」はダメ』として、以下の理由が書かれている。

すべてに同じ1つのパスワードを使うやり方の問題点は、万が一盗まれたり破られたりしたとき、すべてのIDが危険にさらされてしまう点にある。例えば、自分が利用している投資信託銀行でセキュリティ侵害が起き、ユーザー名とパスワードが漏洩したとしよう。

うーん。 銀行ほどのシステムが「セキュリティ侵害」で「パスワードが漏洩」する時点で間違っている気がする。 普通はハッシュを使うことでパスワードを復元できないようにするのでは…。 本当に怖いのは、管理者が意図的にパスワードを生で保存しておいて、パスワードが管理者に盗まれる場合かも。 そういえば、サービス側に生のパスワードが保存されていないことを、利用者が確認できるような認証の仕組みはあるんだろうか。

それはそうと、とりとめもなく日記的雑記: 俺流:優れたパスワードの選定と記憶法で書かれている「キャッチフレーズを日本語で」覚える方法は興味深い。 パスワードに日本語が使えてもいいのに、とも少し関連するかな。

Tags: security
本日のツッコミ(全2件) [ツッコミを入れる]
kt (2006-12-26 (火) 15:10)

こんばんわ<br><br>私はアカウントごとにapg(http://www.adel.nursat.kz/apg/)で生成したパスワードを記録したファイルをgpgで暗号化して保存してます。必要なときに復号してコピペ。<br>自分で覚えておくパスワードは復号のため(gpg秘密鍵復号のため)のパスフレーズだけです。<br>アカウントごとに違うし、自動生成したパスワードなので(自分のクセが出るってこともない)、悪意のあるサービス提供者であっても無問題。<br><br>まぁ、このファイルを保存してるマシンが落とされると一網打尽って危険性もあるわけですが・・・w

まちゅ (2006-12-28 (木) 10:53)

本格的ですねー。他のマシンから使うときに思い出せないかもですが…。<br>パスフレーズを一つにして、ローカルに保存ってのはいい方式だと思います。