パスワードを忘れた? アカウント作成
163968 story
セキュリティ

パスワード管理の秘策は? 84

ストーリー by hylom
最もよろしくないソリューション「全部同じパスワードにする」 部門より

あるAnonymous Coward 曰く、

本家「Best Tool For Remembering Passwords?」より。

最近自分のセキュリティに関して再考している。万が一ノートPCが盗まれた場合のことを考えると、Firefoxに自分の銀行サイトなどのパスワードを保存しておくのは良案とは思えない。またパスワードを全て覚えておくというのは、最近の記憶力の衰えた自分の脳みそにはなかなか厳しいのが現状だ。パスワード管理ツールの導入も検討したが、あまりに多くのツールが出回っていて正直把握しきれない。Firefoxのアドオンの「Magic Password Generator」などは良さそうだが、アドオンを入れていないコンピュータを使うこともあるかもしれないし、Firefoxで使う以外のパスワードも管理したい。

出来ればアプリケーションやブラウザ、また端末依存でなく、持ち運びしやすく、万が一無くしたとしても安全なものというのが理想なのだが、/.erはどんなツールをお勧めするだろうか?

本家/.では「パスワードのみ紙に書いて財布に入れておく」というアドバイスが5点を獲得している。パスワードのみ書き留めておき、「何の」パスワードかは頭に入れておけばいいということらしい。また、仕事柄多数のパスワードを管理している/.erはPassword Safeが非常に便利と勧めている

/.J諸兄方はどんなパスワード管理の秘策をお持ちだろうか?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by prankster (12979) on 2009年11月13日 14時27分 (#1671349)
    パスワードそのものじゃなくて、ある変換を施すとパスワードになる、元の文字列をノートにメモってあります。PCにも一覧を入れているし、PalmのDBアプリにも入っていてバックアップはばっちり(死語)。

    「ある変換」は簡単な文字列変換ですが、自分で決めたルールに従っています。(ROT13なんかじゃないですよ。)弱点は変換後を忘れちゃうと再生成がめんどくさいことですかね。
    • 私も長めのフレーズを「俺ルール」で変換して生成しています。
      変換の際には複数ステップを踏むことで入力フレーズや変換手順を
      簡単には類推されないようにしています。

      ・IPアドレスとマシン名から「とある数値」を生成
      ・「とある数値」を「とある資料」を使って入力フレーズに変換
      ・入力フレーズと「俺の脳内フレーズ」を結合し
      ・「あるルール」で文字を取り出し
      ・可読な文字列になるよう並べ換え
      ・特定の文字を記号に置換して
      ・打ちやすくなるように並べかえて
      ・さらに乱雑になるように並べ換える

      手順は多いですがそれぞれの変換ルールは単純なので手作業で変換できます。
      IPアドレスと「とある資料」と紙があればパスワードが生成できます。
      「とある資料」はネットがあれば(おそらく未来永劫にわたって)入手できます。

      親コメント
    • これに近いかな。
      基となるベース文字列を決めておいて(これは人から見るとランダムっぽい文字列)、それにアカウントを作るサービス名やサイト名を表す数文字を用いて「ある変換」を施す。私の変換方式は作業が脳内で完結する程度のものです。
      これにより、パスワードは殆どが各々独自の違った文字列になり、1つのパスワードを知られても他のサービスアカウントのパスワードを簡単に類推することは出来ません。また、メモ等の記録を残さなくとも、サービス名などから簡易にパスワードを思い出す(というか再生成する)ことが出来ます。

      親コメント
    • by Anonymous Coward
      わしゃいわゆる「ヒント」を記録しとりますな
      例えば

      匿名@ルート・カレント's password: 屁タレ

      とかこんなような
  • 複数の場所用に複数のパスワード書いたら、どれのパスか自分でもわからなくなってしまうんじゃ?
    結局管理ソフトに保存して、紙(もしくは記憶)には管理ソフトのパス書くのが比較的マシなんじゃないかなあ。
  • パスワードのみ紙に書いて財布に入れておく

    これ実際にやっています。
    使用用途はオンラインゲームのパスワードですが・・・

    コンピュータウィルスによるアカウントハッキングが多いゲームなので、
    パソコン内にテキストファイル等でパスワードを残すという事は考えられません。

    銀行、クレジットカードなどの物はそれぞれ別々のパスワードを
    十数桁以上のランダムな、大文字、小文字英数、記号入りを暗記しています。
    (銀行やカード会社は出来る限り、一社に絞るのも大事です)
    もし、コンピュータウィルスなどで流出してしまったら、大変な事になるので、
    これは忘れた場合は銀行やカード会社に電話等の対応で仕方がないでしょう。

    あと、一般的なWebサイトのパスワードはAI Roboform [roboform.com]の有償版に保存しています。

  • by doctor_d (4392) on 2009年11月13日 17時46分 (#1671474) ホームページ

     指紋認証とパスワード管理とがセットになっている、Thinkvantage Client Security Solution [ibm.com]を利用しています。

     無償ですし。

  • by Anonymous Coward on 2009年11月13日 18時20分 (#1671491)

    Web系のIDやパスワードは忘れたら登録しておいたメールアドレス宛に即時再発行が出来るものとかが多いので、そういうのは片端から毎回ランダムパスワードを生成したのを入れて次に使う時には再発行ですね。
    どうしても憶えておかなければならない最小限を除いて、パスワードは「憶えない」「管理しない」というノーガード戦法を採用しております。

    いろいろやって、これに落ち着きました。

  • ラベルライターにパスワードを印字して分かりやすい場所に貼付けます。
    ADHDで物覚えが悪いので見やすい場所にパスワードがあると助かります。
    ただ…外に出るとすっかり忘れてしまいますが。
  • by Anonymous Coward on 2009年11月13日 13時58分 (#1671326)
    低強度:メモに残さない固定した単語、または、身辺に証跡のない数字。
    中強度:低強度の単語と数字の組み合わせ。
    高強度:アルゴリズムを固定して、引数をメモに残す。
    • by Anonymous Coward

      本当は覚えやすいパスフレーズがいいのだけど、それがサポートされない場合の補完事項

      javascriptでもなんでもいいので自分のアクセス可能なマシンローカルで実行可能なファイルを準備(javascriptだとブラウザで今のアドレスを使って作れるので便利)
      そこにパスフレーズと対象Webページアドレスを入れると適度にマゼマゼ(hashで32-64bit位の値を作る)したn文字パスを返すコードを表示

      ってのをn文字パスサイト向けに作って使っています

      あとはお金が絡まないサイトは前部一緒でハックされたら捨てる気持ちでつかっています
      #/.Jは捨てる対象w

      • 似たようなことをやってますね。

        私の場合、URLそのままではなく、そのサービスを簡潔に表す文字列を使ってますが、
        「そのサービスを表す文字列+秘密のパスフレーズ」をMD5して Base64 encodeし、
        その冒頭n文字を取得(ただし、+と/は除く)って感じ。

        そのサイトのURLをそのまま使わないのは、URLが変更される可能性があるから。
        ただし、たまに「そのサービスを表す文字列」を忘れたりすることがあるので、
        確認用に、生成されたパスワードの先頭2文字はメモに残してます。

        親コメント
        • by Ryu-TK (1420) on 2009年11月14日 3時07分 (#1671789)

          私もほとんど同じです。
          # URL が変更されてログインできなくなった経験もあります…

          秘密のパスフレーズ部分はランダムに生成して、 指が覚えるまでは、 SSH 秘密鍵の復号用のパスフレーズや、 一般ユーザのログインに使ったりします。

          親コメント
  • by Anonymous Coward on 2009年11月13日 14時02分 (#1671330)

    もうほとんど T/O という感じだが、やっぱ、これしかない。Safari, Firefox (ほかにも Camino とか…)で使えるし、Dropbox を入れればほかのコンピュータとでも同期できる。iPhone だって 1password app あるし。むかしは僕も、こういうパスワード記憶ツールは邪道だと思っていた時期もありました。でもね、やっぱし使い始めると、もうだめ。しかもセキュアだし。

    Windows の人はきっと誰かが教えてくれるよ!

    • 似たようなものなのですが
      各種パスワード = Dropbox + KeePass Password Safeのイメージ(プライベートのところ)
      ブラウザのパスワード = 上記で管理しつつ、FirefoxのパスワードをSecure Loginプラグインで隠蔽しつつXmarksで同期としています。

      正直Firefoxがまだ安全とはいえない状態なのですが、まあこれはこれで
      # 量が多すぎて、外部ツールだと手間がかかりすぎる(+移行しきってない)、という理由で
      ## プロファイルの同期でも結局ノートもってかれたら同じかなぁとかも思ったので

      # KeePass内の情報は一応AES相当のはず...

      --
      M-FalconSky (暑いか寒い)
      親コメント
    • 私の場合、この三つの組み合せでFAな気がします。Macの場合ですが。

      幾つかのマスターパスワードさえ覚えていれば、後は管理含めてMacに任せておけばおk。

      インストールディスクでパスワードをリセットしても、Keychains Accessがリセットされちゃうらしいので、
      かなり安全かなぁ...。

      親コメント
    • by Anonymous Coward
      ツール+Dropboxに一票ですね。おいらはKeePass [keepass.info]ですが。暗号済みDBだけDropboxへ。ソフトのほうはWinでもLinuxでも実行できる。
      Firefoxではlastpass [lastpass.com]ですね。サーバーには暗号データしか保存されてないそうだし、基本的に暗号済みDBはローカルに存在するので安心。他のブラウザでも使えるそうだけど試したことはない。
      lastpassを100%信用してるわけじゃないので、最重要パスワードはkeepassへ、Webで使う割とどうでもいいパスワードはlastpassという感じで使い分け
  • 自宅のPC (スコア:1, 興味深い)

    by Anonymous Coward on 2009年11月13日 14時11分 (#1671337)
    $HOME/passwords.txtに平文で保存してあるのにsshで繋いでます。
    自宅のPCをクラックされるよりクリティカルなパスワードなんて持ってませんし。
    • by Anonymous Coward

      これに一番近いかな。

      https + 個人認証 でサイトを立てて
      BASIC認証(気休め)して
      家の自分専用鯖にメモしてある。

      # 昔Digest認証でcgiが走らないって話で
      # BASICにしたんだけど、実はIEの解釈が悪いせいだったらしく
      # 今のFirefoxならDigest認証の方が良いらしい。
      ## DoCoMoから使えるか確認してOKなら移項しようかな

  • by Anonymous Coward on 2009年11月13日 14時47分 (#1671366)

    パスワード2種類を組み合わせて運用してます。
    脳内に保存する共通鍵1つと、サービスごとに個別鍵を考えて、個別鍵のみ紙に記録しています。
    実際に入力するときは二つをつなげて。

    手帳の個別鍵を見られても脳内の秘密鍵さえバレなければ問題ないです。
    万が一秘密鍵がバレたとしても秘密鍵部分さえ変更すれば共通鍵はそのまま使いまわせます。

  • ケータイのメモとかメールに入れておくと便利だよ
    ケータイ自体にPWかけられるし、財布と同じくらい肌身離さず持ってるし。
  • 以下のような計算でサービスごとのパスワードを作っています。 (実際にはもうちょっと複雑なことをしています)

    Base64(MD5(サービスの名前やドメイン名(の一部や略称) + 共通のパスワード))

    英数字しか受けつけないとか N 文字までしか受けつけないアホなサービスが多いので、 英数字以外を除去して最初の 12 文字くらいを利用しています。

  • by lutero (1993) on 2009年11月13日 16時02分 (#1671418)
    ID*3とパスワードとか、ID+プルダウンとパスワードとか複雑なものもいけるのでRoboFormお奨め
    例えば銀行系とか支店番号、口座番号、暗証番号、ログインID、パスワードと1ページ内で複数文字列が絡んでくるので
    単純にIDとパスワードを1対の組み合わせでしか保存出来ないリマインダだと対応出来ないんですよね

    で、RoboForm側は20文字のマスターパスワードかけてAESで暗号化。RoboFormOnlineにもバックアップ
    肝心のマスターパスワードは4文字1フレーズで10個程度を適当に順番変えつつ運用してます
    一気に20文字とかだと覚えられなくても4文字ずつ小分けにすると意外とスルリと頭に入ります
  • 個人管理のものはもう大体これでいいなという方法があるんですけど、組織で管理するパスワードがいまだにどうにもこうにもよい方法が見つかりません。

    覚えてもらおうと思うと変更しづらいものになります。

    覚えることは放棄して基本完全ランダムで生成してますが、時間制限のあるなかでトラブルシュートする場面なんかだとパスワード入力画面になるたびに機器設置の担当さんからの視線が痛かったりすることもあったりなかったり。

  • by sat (18538) on 2009年11月14日 8時09分 (#1671837)

    mkpasswdコマンドで生成したものをいくつか使いまわしています。

    スラド -> 1つめ、銀行 -> 2 つめ

    みたいにして、数週間ごとにローテーション。機会があるごとに生成しなおし。

    対応関係を忘れても覚えてるものをかたっぱしから入れるとなんとかなります。
    # いろいろ邪道なのかなあ。

  • by Dobon (7495) on 2009年11月14日 8時17分 (#1671839) 日記
    何の工夫もなく、紙の手帳(能率手帳の住所禄部分)に、IDとパスワードを「鉛筆で記入」してます。
    パスワードは乱数生成した文字列に"il1oO0"を加えて20文字程度にしてありますが…

    でもセキュリティは万全です。わたしの書いた文字を読めるのは、わたしだけですから。
    --
    notice : I ignore an anonymous contribution.
  • 月に一度パスワード変更が求められる場合は、
    「睦月」「如月」「弥生」……
    を元にした略号を前か後に付けたりとか。
    #01, 02, 03…と変えると、システムによっては「一文字だけの変更は受け付けない」なんて事もあるので

    --
    ハイバネーション(=冬眠)中。 押井徳馬(・(T)・)
  • by Anonymous Coward on 2009年11月13日 14時00分 (#1671327)
    ん~と、PCの中に一覧として置いてあるけど、
    20個の中の、その一部が実際のパスなんですよ。
    縦読みか斜め読みか、逆読みか横ずらしか、はたまた最後だけ入れ替えるか
    上下のジグザグ読みかは言えませんけど。

    #お分かりでしょうが、上記以外かもしれません(w
  • by Anonymous Coward on 2009年11月13日 14時04分 (#1671332)
    重要なサイトへは自宅PCオンリーで。
    最近ネットブック買ったけど、そちらでは重要サイトへ繋がないようにしています。
    (セキュリティ面でも不安だしね)

    どうしても繋ぎたい場合は、そのサイトのパスだけ自力で覚えておきます。
    間違ってもPC内には記憶させない方向で。

    #だから文字通りAnonymous Coward(匿名の臆病者)。
  • by Anonymous Coward on 2009年11月13日 14時05分 (#1671334)

    スパイメモの水に溶ける紙に書いておく。

  • by Anonymous Coward on 2009年11月13日 14時14分 (#1671344)

    ID Manager [woodensoldier.info]を使っています。
    >持ち運びしやすく
    さらにUSBメモリにこのソフトを入れて利用
    >万が一無くしたとしても安全
    起動にパスワード設定できます。
    ユーザも複数作成できるのでダミーユーザをいくつも作っておいてどれが本物かわからなくすると言うこともできる。

    後このソフトの便利なところはFTPを使ってデータをやりとりできること。

  • by Anonymous Coward on 2009年11月13日 14時34分 (#1671353)
    私は一つパスワードを完全に決めてしまっています。(辞書攻撃であたるようなキーワード)

    で、登録・入力時にホームポジションを上や右や左に一個ずらして入力します。
    入力場面に応じて、どっち方向に一個ずらしたかだけ覚えていれば指が勝手に入力してくれます
    • by Anonymous Coward
      キーボードの配列が違うと入力不能に陥るわけですね
  • by Anonymous Coward on 2009年11月13日 14時42分 (#1671358)
    私のパスワードは特定のCDの曲タイトル。
    そのCDだというコトは自分以外誰も知らなければOK。
    クラシックなら曲の順番だけでなく楽章やケッヘル番号など数字もあるので便利。
  • by Anonymous Coward on 2009年11月13日 14時51分 (#1671369)

    自分の名前と対象のサイト名またはシステム名を固定規則で手動変換生成してます
    間違えることもないし便利ではあるんだけど、強度はあまりないかもしれない
    パスワードを破ろうとする人が日本語を理解できるなら推測できるパスワードって意外と多い気がする

  • by Anonymous Coward on 2009年11月13日 14時56分 (#1671373)
    いっつも思うんですが、複数のパスワードを同一にすることのリスクってどの程度のものがあるんでしょう?
    複数のアカウントを完璧に別個のパスワードで運用するというもの負担が大きいと正直思うわけです。
    逆に、複数のリソースに対し一個のアカウントで透過的にアクセス出来ますなんて場合は
    ひとつのパスワードが破られた時点で広範囲に悪影響が及ぶわけですし
    なんか、ここらへんの頃合がいま一つピンと来ないかなーと。
typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...