パスワードについて考える

2014年12月23日

セキュリティ テクノロジー

世間一般的に「セキュリティを高めよう」という風に言っている。

ウィルス対策って必要?

そもそも、PCウィルスが出てきた時から不思議に思ってたんだが、 会社でソフトウェアを作る時に、セキュリティチェックや脆弱性チェックは必ず行うし、インシデントはソフトウェアとしては、潰すことが当たり前なのだが、コンピュータ・ウィルスに関しては、OSの責任にならない。 確かに、バックドアなど、普通のソフトウェアとして動作するウィルスをOSとしては拒否することはできないのだが、WIndowsの有料ウィルス対策ソフトについては、ある意味、OSの不具合をウィルス対策ソフトが補間しているのであって、ユーザーはダブル課金されているように思えてならない。 膨大に書かれた規約にそういった事を許容する内容が書かれているワケだが、とにかくこれには納得できない。

銀行カードなどのパスワードはセキュアにして人はいるのか?

それはそれとして、銀行や、色々なサービスサイトなどで膨大なパスワードを個人が管理する時代となっているが、セキュリティ対策の基本とされている「同じパスワードを使いまわさない」という決まりがあるが、これを実行している人ってどれほどいるのだろう? きっと、使い回している人はめちゃくちゃ大いに違いない。 さらに、銀行ATMの4桁パスワードに、生年月日、自宅の電話番号を使っていたり ログインIDとほぼ同じ文字列のパスワードを使っていたりしている人は絶対にかなりの数いるはずだ。 世の中でパスワードとして登録されている文字列のNo.1は「password」らしいのだが、人の心理としては、こんなもんだろう。 誰もがセキュアなんてできないし、オレオレ詐欺もなくならないってこと。

パスワード持論

とは言え、パスワード詐欺などに合わないために自分で見を守る術は身につけておく必要があるので、一番簡易なパスワードについて考えてみた。

管理するパスワードの種類は1種類でOK

試しに管理するパスワードを「password」で考えてみよう。 これをセキュアにする方法としては、 ・英字のみではなく、数字、記号、英字の大文字を含む。 「P@ssw0rd」 同じスペルだが、中をいくつか変えてみた。 僕がよくやる法則としては、

実践

1、先頭を大文字にする※英語の授業でならったとおりにしてみた。 2、英小文字に似た箇所を記号に変換してみる。  a->@  i->!  *僕がよく使うのは上の2つぐらい 3、英小文字に似た箇所を数値に変換してみる。  o->0  i->1  s->5  q->9
さらに、これをサービスで使用する時の法則をく会えてみよう
gmail ->Passw0rd.gmail facebook->Passw0rd.facebook twitter ->Passw0rd.twitter dropbox ->Passw0rd.dropbox
簡単にわかってもらえると思うが、さっきの基本パスワードの後ろに「.」ピリオドとサービス名を付け加えただけ。 これで、わざわざサイト毎にパスワードを管理する必要はないですね。 でも、会社や銀行サイトなどで、一定期間が来たら、パスワードを変更しなければいけない場合はどうしたらいいだろう??? ・・・答えは、
gmail ->Passw0rd.gmail.20141223 facebook->Passw0rd.facebook.201410 twitter ->Passw0rd.twitter.201410 dropbox ->Passw0rd.dropbox.201410
これも簡単で、後ろに変更日※変更した日がわからなくなると困るので、年月で止めたり、通し番号にしたりすると忘れた時に対応しやすくなる。

サイトによっては、セキュアでないサイトもあるので気をつけよう

ここまで徹底してルール化できると、このルールが独自であるほど、強固なパスワードになるはず。 でも、デメリットもあって、今どきのパスワード登録なのに、記号が使えないとか、大文字が使えないとか、数字が使えないなど、古いルールのサイトも現在残っているのが困りものです。 まあ、思い切ってそういうところ用と割りきって2パターンのルールを作るのもアリかもしれない。 ちなみに、僕の見た中で一番厳しいパスワードはapple-idのパスワード登録かな。 上記の文字列を全て入れないと行けないという決行きついルールになっていたはず。 ※しかもたまにルールが厳しく変わる。 上記のpasswordの部分を自分の名前で作っておくのも悪くないかも。

無意味にセキュアには気をつけよう

とにかく、銀行サイトなどで、パスワードが3回間違うとアカウント自体が凍結されたりもするので、ルールの徹底で間違わない仕組みを作ることだ。 まあ、パスワードを便利にすることで、WEBサービスのセキュリティは、ほぼ鉄壁になるはず。 もっと便利な法則があれば教えてもらいたい。

人気の投稿

  • [素材] 著作権フリーの「Loading」Gifアニメーション画像 40個
    Webツール開発を行なっている時に、Ajaxで読み込み待ちの状態で「Loading」と文字が書かれているだけの表示は非常に寂しい。 そこで、いつでもサクッと使えるように、「NowLoading」のアニメーションで著作権フリーの「cc0」のものを集めてみた。 ジャンル分けし...
  • 「ハイフン」って言ってもたくさん種類があるんだよ
    「*」アスタリスクと聞くと、オールマイティ感を感じる、正規表現的な脳みそになっている、ユゲタです。 本日のIT謎掛け 「ハイフン」と、かけまして、 「心拍数の安静値」と、ときます。 そのココロは・・・ ダッシュするとマイナスになっちゃうよ。 ハイフンの種類の...
  • 意外とハマったcurlコマンドを使ってファイルダウンロードして別名保存する方法
    インターネットを使ってファイルダウンロードをするなんて、wgetコマンドで十分やろ!!! と考えていたんですが、curlのオプションの豊富さに、少し浮気をして使ってみようと考えたのが少しばかりハマリングポイントでした・・・ とは言っても、今どきwgetよりもcurl使って...
  • ウィルスソフトは本当にいらないという話
    人並み以上に無駄が嫌いな、下駄です。 先日、大手企業の仕事をさせてもらう時に、取引会社チェックというのをされて、会社のITセキュリティ状態をくまなく質問されました。 確かに、取引先での情報漏えいで、ブランドイメージがガタ落ちしているニュースなど散々みているので、こうしたチ...
  • 画像ファイルをバイナリではなくテキストで扱うbase64フォーマットって便利なのだろうか?
    画像を、観ることも、描くことも、編集することも、フォーマット変換することも大好きな、ユゲタです。 base64フォーマットって、使わなくても全く困らないんですが、使ってみると結構便利な点も多く、必要に応じて使用すると効果的なので、そのメリット・デメリットをまとめておきます。...
  • Chromeブラウザにおける「Violation」JSアラート
    WEBサービスプログラムを作っているときに、Chromeブラウザを使っているエンジニアは多いと思います。 いや、ほとんどがChromeブラウザだと思います。 よほど社内セキュリティ違反にならない限り、エンジニアはChromeブラウザを使うはずです。 そんなChromeブラウ...
  • [Javascript] onSubmitを完璧にセットする方法
    こんにちわ。 EFOの生みの親である、弓削田です。 先日、とあるサイトのお問い合わせフォームに、Javascriptを使ってEFO機能を搭載しようと思ったんですが、 submit制御について、EFO構築を思い起こしながら作業していたけど、なかなか思ったとおりにならず、ネッ...
  • [Chart.js] X軸とY軸に表示されているラベルの文字列をカスタマイズする方法
    グラフをキレイに見せるコツは、ラベルの表示方法にあることに気がついた、ユゲタです。 グラフの「ラベル」というのは、縦横の値の目安になる値を表示しているアレです。
  • TWS-P10の両耳モード(ステレオモード)に切り替える方法
    Amazonで安売りしていたので、試しに買ってみた「TWS-P10」というBluetoothイヤホンが便利で使いやすくて毎日ウォーキングしながら装着していたのですが、 ある時、不意に片方ずつしか音が聞こえなくなり、どうやら片耳モードになっているようで、両耳モードにする方法を...
  • [Chart.js] ツールチップをカスタマイズする
    「ツールチップ」と聞くと、「ポテトチップ」を連想してしまう、ユゲタです。 ツールチップというのは、パソコンなどで表示されているチャートで、マウスカーソルを合わせると、そのピンポイントの箇所の情報が ポップアップされるウィンドウの事です。

このブログを検索

ごあいさつ

このWebサイトは、独自思考で我が道を行くユゲタの少し尖った思考のTechブログです。 毎日興味がどんどん切り替わるので、テーマはマルチになっています。 もしかしたらアイデアに困っている人の助けになるかもしれません。

ブログ アーカイブ