パスワード管理について
パスワード管理について
アカウントをクラックされないためにどういうパスワードを設定するのか、私なりのやり方をメモ書き程度にまとめておく。
パスワードクラック手法
まず、昨今のパスワードクラック手法についてまとめておく(彼を知り己を知れば百戦殆うからず)
・リスト型
・辞書型
・リバースブルートフォース
セキュアなパスワード用件
一般的にセキュアなパスワードの定義はこんな感じ。
・大文字、小文字、数字を含む8文字以上のランダムな文字列
・サービスでの使いまわしはNG
・パスワード定期変更?(hogehoge01→hogehoge02などは意味なし)
↑この赤字のところが難しいとこ。大体10個以上WEBサービスを利用していて全部バラバラなんて現実的に管理できない。じゃあどうするか?
パスワード管理方法
パスワード管理ツール
よくある手法として、パスワード管理ツールがある。パスワード管理ツールに対するパスワードをひとつ覚えておくだけで、ツールに登録したサイト等のパスワードを一元的に管理できる。さらに2つのパターンに分けることができる。
・オンライン方
メリット…Webにつながればどこでも利用できる。
デメリット…クラウドにデータが保管される。ここからもれたら全サービスのパスワードを1から変更が必要。
・オフライン方
メリット…Webから漏れる心配はない。
デメリット…アプリを保管している端末を紛失したら、サービスが利用できなくなる。(初期化等で復旧する方法はあるか)
→フリーのツールも多く出回っているが、気持ち悪いので、やっぱり頭で覚えておきたいな~
パスワード生成ルールを決める
私の落としどころは次のやり方です。
- ランダムな文字列を用意する。
- 利用サービス毎に一定のルールで文字列を用意する。
- 上記1,2を組み合わせる。
上の記述だけだとわかりにくいので、具体的に書くと以下。
1.ランダムな文字列を用意する。
パスワード生成等を利用して、できるだけ推測しにくいものを用意する。
具体例で今回は右のような文字列を容易する。「Dho12S」
2.利用サービス毎に一定のルールで文字列を用意する。
たとえば「hate●ablog」であれば頭と尻の文字をとる→「hg」、 これを逆順に変換して「gh」など。一定のルールでサービス関連した文字列を用意。このルールで変換すると…
「am●zon」→「na」
「fac●book」→「kf」
「楽●(raku●en)」→「nr」
みたいな変換が簡単にできます。
3.上記1,2を組み合わせる。
あとは組み合わせのルールを作成するだけ、たとえば1.の3文字目に2.のサービス毎の文字列を入れるとすると…
hate●ablog →Dhogh12S
am●zon →Dhona12S
fac●book →Dhokf12S
楽●(raku●en) →Dhonr12S
これでランダムなパスワード作成完了です。
もし漏れてしまったらルールの見直しだけで基本的にはいけるので、今はこんな感じで設定やってます。