osa2's memo

自分の記憶のために・・・。

我が家のパスワード管理

一般の、ネットヘビーユーザーさんなら誰もが苦しむこの課題。
今日、こんなメールが来ました。


■ とあるメーリングリストによる情報

2014年のIPAの調査によれば、64%の人が複数のパスワードは覚えられないと答え、50%の人がパスワードを複数サイトで使い回ししています。 つまり、2人に1人は1箇所でIDとパスワードを盗まれたら、利用している全部のサイトで被害に遭う危険性を持っています。  
IPA情報処理推進機構は、経済産業省所管の独立行政法人

  • パスワード運用の実態
  1. どのようなパスワードが安全かを理解している 70%
  2. 実際に安全なパスワードを設定している 13%
  3. 同じパスワードを別のサイトに流用している 50%
  4. いくつものパスワードを覚えていられない 64%

■ 私の中の変遷

ぐうたら感謝の日を崇敬する私としては、上記、1,2,3,4全てに当てはまります!つまり、

「♪わかっちゃいるけど やりきれない♪(ハイッ

  1.  ネットを始めたころ(1993〜1996)
    適当に8文字くらい。好きな単語に数字をつける程度。誕生日の数字そのものは使わなかったけど、掛けた値や足した値を使ったりはしていた。
  2.  サイトが増え始めた(50サイトくらいの)ころ(1997〜2010)
    正直、使い回すしかない。面倒くさい。当時はブラウザが憶えてくれるなんて素敵な機能はなかった(今も正直、あまり使いたくはないので、自宅のブラウザに限定している)。
    その代わり、パスワードの作り方を強化。いまはもうこの方式は使っていない。
    ・お金の絡まないサイト: xx999999 アルファベット小文字2文字+数字6桁
     このパスワードだと、約6億7600万通り。
    ・お金の絡むサイト: xxxx9999 アルファベット小文字4文字+数字4桁
     このパスワードだと、約45億6900万通り。
    作り方は、アルファベットは(紙本の)辞書を適当に開き、
    アルファベット : ページの上端に載っている見出し語の上から2桁目
    数字 : ページの上端に載っているページ数の10の位
    8回ページを開き直して、1個、お金用、非お金用で2個を作る。
    これをだいたい半年ごとにやり直して、後継のパスワード2個に入れ替えていく。
  3.  利用サイトが更に増大(100サイト以上)(2011〜2013)
     &世のサイトのパスワード規則が厳しくなっていった時代
    さすがに100サイト超えていくと、パスワード更新が漏れはじめる。特に利用していないサイト。すると、2.で決めたランダムな文字列を数世代(多いときは5世代くらい)憶えていないと当てられない時も出てきた(涙)
    サイト側が文字数(これは8文字なら概ねクリア)や必須の文字種(大文字や記号)を増やし始め、2.のルールでは対応できないサイトができてしまった。現在は使っていない方式だが、2.のルールで作ったパスワードの先頭だけ大文字にしたり、末尾に自分の中でこれと決めている記号1つだけを足して、その場しのぎ。後にこれでもうまったく思い出せないサイトが増えていくことに。
  4. 表計算スプレッドシート+ランダムパスワードジェネレータ (2013〜2017)
    そこそこ使えたが、モバイルのパスワード入力に対応できなかった方式
    開くときにパスワードを入れて開くシートに各サイトのユーザーID、パスワードを記録。またパスワードはNortonのジェネレータのサイトを使用。これでもう自身ではまったく記憶のしようのないパスワード、かつ、サイトごとの使い回しを回避。
  5. 暫定モバイル対応(2015〜2017)
    2.や3.で使っていたパスワードを複数連結し連結の際に記号を足したりルールを決めて大文字化したりして16〜20桁のパスワードを5本程度用意して使い回し。
    しかし、このパスワードがリーク(漏洩)していることが外部のサイトから警告あり、6.に移行。
  6. パスワード管理ソフト+USBメモリ(2017〜)
    5.を受けて、4.の方式はまだしも、モバイル環境でもシームレスに利用するためには、パスワード管理ソフトは使用せざるを得なくなる。
    多くのパスワード管理ソフトは「クラウドに保存」することと、PCやモバイル用のソフト・アプリを提供することでパスワード管理環境を提供している(多くの方々はこれでも良いはず)。が、以下の理由で私はそういったプロダクトを採用できなかった。
    (1) 自宅のメイン環境がLinuxのため、対応していないベンダー製品がほとんど。
    (2) クラウドに置いた以上、自身の手で、物理的に情報を隔絶する手段を失うことになる。
    (3) USBならPCやスマホから抜けば外界からのアクセス手段は住居侵入以外不可能。
      (ドロボーに入られたら印鑑だって通帳だってやられるんだからこれはもう仕方なし)

■ 結論(=現状)

次の次の投稿で詳細を紹介するが、現在は上記6の段階に来ている。改めて書くと、

  1. パスワード保存方式をKeePass2ベースとし、PC(Linux, Windows)、AndroidWindows Phoneでの対応ソフト、アプリを利用している。
  2. 保存先はUSB-OTG対応のUSBメモリスマホにも挿せるUSBメモリ)を使い、そこにパスワードを格納し、普段はPCやスマホからは物理的に隔離している。もちろん、バックアップも取得し、隔離している。
  3. 上記4.はまだ移行中だが(既にサイトが200以上あって、不要なサイトをアカウント閉鎖しながらやっている)、5.は完全に廃止した。もちろん、3.以前の方式も廃止済みである。

一般ユーザーとしては既に利用しているセキュリティソフト会社のID管理ソフトを追加購入するか、この方法くらいが限界ではと思われる(個別に有用なツールはあるが、それはまた別途ご紹介したい)。

== END ==