パスワードは必要なら使用し可能な限り使わない。
これは個人的な考えですが、過去無駄にパスワードをかけて開けなくなったファイルが数個。反省して以後、無駄と思ったパスワードは使わないようにしております。但しオフラインの事でオンラインではパスワードの設定が有るなら必須項目。
Webのパスワードも見えてしまうフリーソフトが紹介されておりネタにします。
元のソフトウェアはAsterisk Key、紹介をGIGAZINEより。
「***」パスワードを抜き出すフリーソフト「Asterisk Key」 - GIGAZINE
http://gigazine.net/index.php?/news/comments/20100823_asterisk_key/
ダウンロードからインストール、使用したスクリーンショットまで載っている為、詳しくはGIGAZINEをどうぞ。ダウンロードはここから。
Asterisk Key - shows passwords hidden under asterisks
http://www.lostpassword.com/asterisk.htm
Asterisk KeyはInternet Explorerでパスワードが見える
試したバージョンはIE(Internet Explorer)8、実験的に保存したパスワードは本当に見えました。Firefoxもやりましたが見えず。この辺りがセキュリティの意識というかレベルというか、仕組の違いでしょうな。
Basic認証も見えてしまいます。
当サイトのログ管理画面への認証。右にログイン用の窓が出ておりパスワードは*で潰されているものの、左のAsterisk Keyには3~4行目付近に表示されております。
IEでパスワードを保存している場合に限られますが、実験すると見事としか言いようの無い結果になりました。
私の知る限りでは、パスワードを表示させるソフトウェアはアプリケーションなどの窓に限られ、Webのパスワードまで簡単に見る物はございません。
メールソフト(Becky!)でもやってみると。
普通に表示されます。
Webでの使用が要らなければフリーソフトのパスみえ2000が有名でしょうか。約10年前に作られたもので今でも使えます。
照準マークをパスワードで*になっているボックスへ移動すると一瞬で表示。桁数など無関係。パス見えはWindows XPでやっている為、Vista以降で動くかは知りません。
パスワードの設定や保存で注意する事
パスワード保存はWindowsのどこかに記録される
場所は様々ですが、上で紹介したような*を表示される事と並行し、パスワードを保存するという事はブラウザのそれ用ファイルやWindowsのレジストリ、ソフトウェアの設定ファイルなどに書き保存されるという事です。
悪意有る第三者に解析されても良いなら結構ですが、オンラインの銀行や証券のみならず、楽天やYahoo、Googleのような個人情報が満載されているサイトへのアクセスもパスワード保存はお勧め出来ません。
フリーのチェッカーで強度を確認
フリーソフトも有りますが、Web上で確認出来るサイトを2つ。
いずれも単純なパスワードでは強度は弱と表示されるでしょう。 例として、1234567890、password、qwerty、asdfgh、4桁の数値など。
リンク下のサイトは海外ですが、フレーズ数500のサンプルが有るようで有りがちなら指摘してくれます。
枠に「password」と入力した所。良く有る500例と注意されます。
IE8で「1234567890」。無駄にAsterisk Keyを使用すると。
16分くらいでクラックされる計算のようです。
過去に聞いた話では12桁以上で無ければ迅速に破られてしまうという噂も有ります。種類はせめてアルファベットの小文字と数値は入れるよう心掛け、可能な限り長くしましょう。
複雑過ぎるパスワードは無意味になる事も
修理中に見てしまう事として、デスクトップに「パスワード.txt」を置いているユーザが結構居られます。私が悪意有る人間なら簡単に盗まれてしまう。
ノートPCでは、付箋にメールのIDとパスワードや楽天も同様に書き貼られている方も居られ、オンラインでは見えないもののオフラインでは周囲から丸見えです。
複雑なパスワードを設定する事は重要ですが、覚えられないパスワードを設定した上にメモをすると意味無し。自宅ならまだしも、企業の事務所などでそのような無責任な事をしないようご注意有れ。
変更出来ない複雑なパスワードなら、頭の1~3文字程度を記憶し残りの文字をメモするなど工夫しましょう。
ヒント用のフレーズは真面目に入力してはいけない
最近良く見ますが、質問を選択し、回答を入力するとパスワードを忘れた際にログイン出来てしまうサイト。メールで送られて来たり、元のパスワードを破棄して新パスワードを設定させるなら結構ですが、ログインはまずい。
有りそうなパターンとして。
- 母親の旧姓、飼っているペットの名前>親しい人間なら分かる
- 好きな映画、好きな芸能人の名前>趣味を知られている危険性
- 質問内容を入力して下さい>簡単な質問に簡単な答えはまずい
ヒントの設定が必須で無ければ結構ですが、必ず入力する事になっているなら全く関係の無い言葉や、キーを適当に叩いて無意味な羅列を長々と入れましょう。
後者はヒントの機能を使わない覚悟で。前者は例として、好きな映画は?>特攻野郎Pentium4、のように存在せず記憶出来る何かをお勧めします。
ネットカフェや他人のPCでは意識してパスワード保存しない
癖でつい保存してしまうかも知れない。前述の通りIEはスカスカ。
ネットワークとPCを貸してくれるネットカフェでは、Cookieやキャッシュを保存しない設定かつ設定を変更出来ないようカスタマイズされていたり、最も良い方法と思われるPCを起動や再起動時に毎回リカバリされ工場出荷状態になる事も。
専門では無い店にサービスで置いてあるパソコンでは充分注意を。特に楽天のようにパスワードを保存するというチェックかと思ったら、逆だったというパターン。
楽天の場合はブラウザを閉じれば良いものの、他のサイトでもこのような罠が無いとは限らず。
パスワード関係で注意する事
随分前にophcrackでログインパスワードを解析する方法 をやりましたが、今回はWindowsのログインでは無くログイン後のパスワード保存について。
第三者のパソコンを使う以外に、修理やデータ復旧でパソコンを他人に預ける事は、プライベートが丸見えになる事を意味します。
簡単に悪用出来る為書きませんが、もっと高機能なツールが有り、Windows内に保存されているIDとパスワード、サイト名、ソフト名、その他諸々をぶっこ抜いて一覧にし、テキストやhtml保存出来る物も有ります。盗む作業はデータの量に関わらず数秒。
年に数回、どの程度の情報が保存されているか自分のPCで点検しますが、私が悪い人間なら修理するとしてPCを預かり、保存されているパスワードを全部抜き出す事も可能。
この場合、悪意有るソフトウェアとしてセキュリティソフトが反応する事も有りますが、事前に切っておけば良い為、メーカー以外の修理屋から帰って来たならセキュリティソフトのログチェックをお勧めします。
しかし何をしようとHDDのクローンを作られたら無力で、自分が所有する以外にHDDが存在するならログもクソも有りません。過去に信用ならない業者をいくつか叩き晒しておりますが、それに限らず個人や街の修理屋には警戒しましょう。
全ての業者が悪意有るとはもちろん言えないものの、全ての業者が善良とは限らない。メーカーの修理現場でさえ、やろうと思えばデータやパスワードを盗めない事は有りません。
他人へ一度渡ったPCに保存されていたメールなどのパスワードは、戻って来た際に即変更。基本的にブラウザなどのパスワードは保存しない事をお勧めします。
ヒント用フレーズの話などはなるほど思いながら興味深く読ませていただきましたが、毎度エラい有用な情報ありがとうございます。
「Asterisk Key」でいくつか試してみたので簡単にご報告。
以下web認証のオートコンプリート機能で確認
「Chrome」:解析不可
「Firefox」:解析不可
「Opera(古めのver9.64)」:解析不可(おそらく現行verでも問題ないかと)
「Internet Explorer7・8」:解析成功
てか、私の環境ではIE「以外」は見れませんでした。
Microsoftェ・・・もうブラウザ作るのヤメrお前は十分頑張った、もう休めw
ご紹介頂いたフリーチェッカーで使用しているパスワードを試してみました。
英数16文字ですが私的アルゴリズム生成なので覚えられるというw
「How Secure Is My Password?」のほう
入力ケタ数が増えるに従ってクラック時間が増大していき最後の16ケタ目で
「About 25 billion years」
250億年?にワロタ
「パスワード チェッカー(マイクロソフト)」のほう
同様に7ケタ目までは「弱」で8ケタ目入力の時点で「中」に変化
そのまま16ケタまで入れ終わっても「中」のまま・・・って、おまw
「中」の幅あり過ぎるだろw
ちなみに「How Secure Is My Password?」にてキャッシュカードでデフォな数字のみ4ケタを試したらクラック時間「0.001 seconds」でフイタ