パスワードとは?
|
この項目ではセキュリティのためのパスワードについて記述しています。コンピュータゲームにおけるパスワードについてはパスワード (コンピュータゲーム)を、講談社青い鳥文庫から出ているパスワードシリーズについてはパソコン通信探偵団事件ノートをご覧ください。 パスワード(Password)とは、一般的に合い言葉を指すが、特にコンピュータ関連で使用する場合は、特定の機能を使用する際に認証を得るため入力する文字及び数字の羅列を指す。多くの場合、その利用者が本人であることを確認するもので、その利用者のみが知る文字列を用いる。 通常はユーザIDと対にして用いる。あらかじめ登録されているそのユーザIDのパスワードと、操作者によって入力されたパスワードが一致していることによって、操作者がそのユーザIDの使用者本人であると認識する。 パスワードのうちで、数字のみで構成される文字列を暗証番号(あんしょうばんごう、PIN、personal identification number)という。金融機関のATMや携帯電話の本人確認で利用される。 文字列の長さが数十文字以上と長いパスワードのことを特にパスフレーズと呼ぶことがあり、高いセキュリティが必要なシステムで用いられる。 多くのシステムでは、パスワードに用いることのできる文字はアルファベット(ラテン文字)26文字か52文字(大文字・小文字が区別される場合)、アラビア数字10文字、「+-/!"#|_」などの記号に限定されているが、マルチバイト文字を用いることができるものもある。 パスワードやクレジットカードの番号を入手することで、他人になりすましてさまざまな利益が得られることから、パスワードを発見するということがしばしば行われてきた。理論上は総当りですべての文字列を試してみればいつかは正しいパスワードを発見可能なことは容易にわかるが、大変な労力が必要なので実際はあまり行われない。 また、複数回間違ったパスワードを入力すると、システムがそれ以降の入力を拒否するようになっている場合もある。(金融機関の現金自動預け払い機では、間違った暗証番号を3回入力すると以降はそのカードは有人窓口以外での取り扱いができなくなってしまう) パスワードは任意の文字列で構成されるが、完全にランダムということはほとんどなく、実際は覚えやすい文字列で構成される場合が多い。その性質を利用して、辞書に載っている単語や人名を入力することで、パスワードを発見する効率を高めるソフトウェアもある。(辞書攻撃の項を参照されたし) 銀行のキャッシュカードに設定されている暗証番号については生年月日、自動車のナンバー・電話番号や「1111」「1234」のような覚えやすい番号(いわゆるキリ番)が設定されている場合が多いが、近年発生しているキャッシュカード窃盗やスキミング等の事件に於いては、日本ではじつに57%の例で生年月日を入力されて預金を引き出されている(金融庁調査による)。このような事例では、これらの犯罪被害者に行われていた被害補償に於いて、預金者自身にも過失があるものとみなし、全く補償されないか、補償が半分以上も減ぜられることもある。(金融庁中間報告) キャッシュカードや携帯電話端末の暗証番号はわずか4桁だけしかない場合が多く、0000〜9999の、せいぜい10000回試せば暗証番号を発見できることから、番号を忘れてしまった場合に全部の番号を試すソフトウェアが存在する(総当たり攻撃の項を参照されたし)。 誰でも思いつくような覚えやすい文字列の文字列でパスワードを設定することは避けるようにすべきだというのが、セキュリティ専門筋の共通見解であるが、パスワードをランダムな文字列の羅列にし、かつ文字数を多くするあまり、中には自分自身でも覚えられないパスワードを設定する人も見られ、本末転倒な事態に陥るケースも見られる。他方では、その余りにも覚え難いパスワードをメモに記録して携帯または保管する向きもあるが、ソーシャル・エンジニアリングによってパスワードを盗まれる事態も発生しているだけに、注意が必要である。 定期的にパスワードを変更する事で、たとえ盗難にあってもすぐに無効化できるため、任意のパスワードを設定できる所では、定期的なパスワード変更が推奨されている。近年では現金自動預け払い機においても、その場の機械操作だけで暗証番号が変更できるものが見られる。ただし、この場合変更前のパスワードを覚えていないと変更することができない。 |
[ 3] パスワード - Wikipedia
[引用サイト] http://ja.wikipedia.org/wiki/%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89
|
以前にもパスワードについてはいろいろ書いたような気がするのですけど、その後も自分で管理しておかないといけないパスワードは加速的に増えていて、もう何がなんだか分からないような状態になってきていたりします。 なんてのがありますし、プロバイダ接続には、PPP接続のIDとパスワード、とPOP接続のIDとパスワードなんてのが、契約プロバイダ数分だけありますし、通信販売や、web上で何らかの会員になったりすると、そのIDとパスワードが必要になったりします。まあ、あと昔からあるのでは、銀行のキャッシュカードの類の暗証番号。 その上職場に行ったら職場に行ったで、自PCにログインするためのパスワード(Windows NT)やら、NoteサーバやPOPやらをはじめ、UNIXやらWindowsNT/2000やらルータやらOracleやらSQL Serverやらのパスワード、とまあいろいろあって、あまり使わないやつなど、咄嗟には出てこないことも多いわけで、それでもって忘れてしまっていると仕事が出来ないわけでして…。 特に困るのが、平日は本番稼動中なため休日に出勤してきて、機器の設定を変更しようとしたけれど、パスワードが分からない、パスワードを知っていそうな人間は出勤していないし、電話してみてもつかまらない、ってな場合ですね。わざわざ休みの日に出てきたのに、パスワードが分からなくて、結局何も出来ずに帰ったり、なんてことも1度や2度じゃなかったりします ←事前に調べてなかったテメーが悪いんじゃんか。 さて、仕事で使う機器などのパスワードの話はとりあえず置いておいて、個人的に必要になるパスワード、これをどうやって選ぶか、というのは結構悩ましい問題ですよね。 「パスワードを覚えておく、または、覚えておける」という観点からは出来るだけパスワードを統一したいわけです。でも、なかなかそうも行かない、というのが実情かも知れません。統一しておくと、その(統一)パスワードが漏れちゃっただけで、自分に関する全てのセキュリティが突破されてしまう、ってことにもなりかねません。少なくとも、UNIXやWindows 2000のroot/Administratorのパスワードと、通常使う一般ユーザのパスワードは違えて置かないとまずいだろう、と。 あと、セキュリティ情報が漏れやすそうなサイト(通信販売系のサイトの顧客情報なんか、よく漏れていて騒ぎになりますよね)にメンバー登録をする場合なんかは、捨てパスワード(?)にしてお置かないと、漏れたときに大変。こういうサイトのメンバー登録をする場合に、銀行のキャッシュカードの暗証番号と同じパスワード、なんてのはかなり危険な行為かもしれません。 パスワードを統一しようとした場合、あと問題になるのが、システム毎に、パスワードに許される文字種(数字、英字、記号)の違いや、許される長さの違い、あと、もっと細かい制限(数字と英字の両方を含まないといけない、とか、英字は最低3文字で記号も含む、とか)や、定期的にパスワードを変更しないといけなくて、しかも前回と同じ(似ている)ものはダメとか、そういうのもありますね。これなんか、もうややこしいことこの上ないし、その上、何度かパスワードを間違えると、そのアカウントがロックされてしまって使えなくなってしまう、なんてのもあったりします。 確かに破られたときのことを考えると、あまり単純なパスワードはダメ、ってのは分からないでもないですけど、システム毎に、こういう制限が異なっていると、結果的にパスワードを統一できなくなって、結局頭では覚えきれない状況に陥り(←今の私)、で、どうなるかというと、手帳にパスワードを書いておく、とか、ディスプレイにパスワードを書いた付箋紙を貼っておく、なんて本末転倒な話にもなったりするわけです。 とりあえず私の場合、現状ではどうしているか、というと、結局は表にして取っておいてあります。と言っても、パスワードを直接は書いていなくて、パスワードのパターンを数種類用意しておいて、そのパターンに番号を付けて、その番号を記述しておいています。パスワードと番号の対応付けは頭の中にあるだけ、ということで。で、それをフロッピーに入れて持ち歩いていたりするのですけど、これってセキュリティ的にはどうなんでしょ。 と言うわけなので、パスワード認証をやっているようなシステムを作っている人にお願い。パスワードに許される表現(文字種とか)はせめて業界全体(って、どこの業界かって話はありますが)で統一して下さい。 あ、でもその統一基準が、「パスワードは16文字固定、英小文字を最低5文字、英大文字を最低4文字、数字を最低3文字含んで、辞書に載ってそうな単語は禁止、1週間に1回は必ず変更すること、前10回分のパスワードと同じもの、もしくは似ているものは禁止、パスワードを3回打ち間違ったらアカウントはロックされる」とかいうようなややこしいの止めてね。 |
[ 4] パスワード
[引用サイト] http://www.amy.hi-ho.ne.jp/~lepton/program/p1/prog192.html
|
律子さんの会社では、基本的に1人1台マシンが支給されているのですが、プロジェクトの都合やリース期間切れなどで、意外と頻繁にマシンの変更が行われます。 そんなこともあってデータの移動は手慣れたものですが、つい忘れてしまうものがあります。パスワードです。 特にメールのパスワードなんかは最初に管理者に渡されたものを設定して(設定さえ管理者に任せっ切りの人もいますが)、それをアプリケーションに記憶させている人がたくさんいます。もちろんそういう人はマシンを移動するときにはパスワードは頭の中からすっかり抜け落ちているのです。一度しか打ち込んでいないので仕方ありませんが、そういう人に限って、なぜか渡されたパスワードが書かれた紙を紛失しています。発行したパスワードですが、管理者は発行後に廃棄して、基本的に本人しか知らないようにしているので、毎回再発行するしかありません。 また、律子さんの管理するネットワークでは、ユーザー自身のパスワードは自分で変更することができるようになっています。ユーザーが自分でパスワードを変更してしまった後では律子さんはまったくどうすることもできません。 しかも、プライベートのメールアドレスのパスワードが分からない……、なんてことをいってくる人もいます。そんなもの律子さんにも分かるはずがありません。 ただでさえ忙しいのに、このような人たちをいちいち相手にしているので、律子さんは家に帰るのがどんどん遅くなっていきます。忙しさがピークになるに従って、律子さんの声もだんだん殺気立ってきます。 博君:「あの……、正確にいうと、OutlookExpressのパスワードに掛かっている******に隠れてるパスワードを教えてほしいのですが……」 あ、それならパスワードはネットワークに流れるから、メールの受信をキャプチャしたら分かるじゃない、ということで、パケットキャプチャをインストールして、パスワードを見て解決です。とはいえ毎回やるのはどうにも大掛かりで面倒です。これならパスワードを再発行した方が手間が掛からないような気もします。 律子さんはこのようなネットワーク便利屋稼業の積み重ねでいいかげん疲れてきました。もしかするとパスワードの再設定に追われて過労死してしまうのかも。律子さんはそんな怖い考えが頭の中をぐるぐると回りはじめてきました。それと同時に意識も飛んでいきます。 しばらくして目を覚ました律子さんは、無意識のうちにNirsoftのページを開いていました。おお、もしかしたらここに私を助けてくれるツールがあるのかもしれない。 律子さんがサイト内をいろいろ見ていると、Protected Storage PassViewというツールがありました。これを使えばパスワードが取り出せると遠くから声が聞こえてきたような気がしますので、早速使ってみることにします。 社内のPCが突然、メールを受信できなくなり、Webも見られない環境になってしまった。そんなとき、どのように対処するべきか 5分で絶対に分かるSIP (2007/11/16)インターネットで電話をかけるためには、発信や着信、応答、切断といった制御が必要です。その手順を取り決めたシグナリングプロトコルの1つ、SIPを5分で理解しましょう 携帯メールポータビリティは開国を迫る黒船となるか (2007/10/31) 丹後から日本のケータイにもの申す。TANGOメールは携帯電話ネットワークのオープン化への第一歩となるか? 「はてな」を作り出す人的ネットワークの仕組みとは (2007/8/24) 次々とWeb2.0的サービスをリリースするはてな。拡大する組織の中で行われているコミュニケーションのかたちとは? @IT ネットワーク用語辞典 (2007/8/22)ネットワーク管理者のための用語集です。「LAN」や「IPアドレス」といった基本中の基本から、「HTTP」などのプロトコル、「ping」などのコマンドまで、幅広く解説します エンジニアとしての力量を数値で測った経験は?ITSSレベルを無料で判定、12月25日(火)まで ホワイトペーパー利用者に「Amazonギフト券」を抽選で100名様にプレゼント!――TechTargetジャパン リニューアル・キャンペーン |
[ 5] 俺の「パスワード:*****」って何でしたっけ? − @IT
[引用サイト] http://www.atmarkit.co.jp/fnetwork/rensai/netool05/asterisklogger01.html
