最近、会員登録しているWEBサイトでパスワードの強制変更モードになることが結構ある。
この状態、俺にとってはものすごい迷惑で、有る一定桁数以上なら出さないで欲しいものだ。
大体、パスワード管理が脆弱な連中の保護のために強制しているわけで、そんな連中ほっておけばいいと思うのだが、何かあれば直ぐにシステムの性にするのでシステム屋的には面倒な相手をしたくないと言う処置でわからないでも無い。
しかし、英数大文字小文字記号混じりで16桁のパスワードを設定している俺にとって、全く迷惑で仕方が無い。
パスワードは100%改竄出来るので変更しても意味が無い。
それよりも、改竄出来ない仕組みを取り入れる事に注力して欲しいものだが、英数大文字小文字、記号混じりで16桁以上のパスワードを設定しているのは少ないだろうが、いくつか自分の中でパターンを決めてx桁めとy桁めは大文字とか、数字とか、数字の規則性を自分だけがわかるロジックで15桁程度のパターンを作っておけばサイト毎に変更出来るし忘れない。
まず、パスワードに記号を使う事は重要だが、意外に記号を入れると不正な文字ですとか言うサイト自体が脆弱な場合もあるし、有るサイトは12桁以上のパスワードが設定出来ないなんておちゃらけたサイトもあってビックリすることがある。
パスワードは総当たり攻撃で100%解読出来るのは論理的に可能で、そもそも入力出来る全て音文字の組み合わせを永遠にやり続ければいいわけだ。
その永遠にやり続ける期間として、最低でも10桁以上にした方が良いといわれているが、10桁だと、覚えられるロジックを構築するのが面倒で、長い方が組み込みやすいので俺は16桁にしている。
ちなみにWikipedia調べだが総当たりした場合の処理能力別の時間が表になっていた。
これは、10桁までしか表になってないが、一般的なPCであれば10桁の英数大文字小文字数字記号で一千万年かかるとの事だ。
まぁ9桁目から10桁目に上がる際に、丁度一発目で当たる事をさける上でも、最初の桁を記号にして置くと良いだろうね。
総当たりのプログラムを組むとしてもアルファベットならaから、数字なら0から組んで記号は後半に持ってくるロジックを組むはずだ。
最初にアルファベットの総当たりで10桁まで頑張って32年、次に数字を組み合わせて20万年なので、この時点で、改竄されたところで生きてないわけだし、地球が滅亡してるかも。
それでもスーパーコンピューターを使えば8桁までなら約三ヶ月以内で改竄出来るので、少なくとも10桁以上で最初の1文字を記号にして置けば、そうそう前半で当たらないはずだ。
英数大文字小文字数字記号混じりのパスワードのコツは、自分のなかで、アルファベットをaなら@とかなにか決め打ちでパスワードに含むアルファベットを記号にすると決めておいて、何文字目を大文字にするかとかも決めておけば良いだけだ。
それにサイト毎に変えるのも、サイトの名前をそのまま使えばいいだけで、例えば5文字目からサイトの名前、ドメインの最初の3桁を入れるとか自分で決め打ちのルールを作っておけばサイト毎に変えても忘れないパスワードを構築出来る。
ただ、IDは案外メールアドレスを流用する場合が多いので、IDが抜かれるのはしょうがない。
この方法でパスワードを自分なりに管理している俺にとって、パスワードの強制変更案内は迷惑でしか無いと言う事は理不尽な言い分じゃ無いと言う事が理解頂けると思う。
世の中の全員がパスワードに関してこう言った自分なりのロジックを駆使していれば、まず、パスワードを改竄しようと思わないので別の手段を考えるだろう。
その方法は簡単で、キーロガーを使えば良いだけで、有線キーボードなら、リスクは高いが忍び込んでキーボードの接続部に、ある部品をかませてログを取れる様にしてその情報を後で物理的に取りに行くとか電波で送信するとか言った方法があるし、無線キーボードならその電波をキャッチする部品を使えば良いだろう。
なので、ブラウザにパスワードを保存しておく事が結構有効で、ブラウザにパスワードを保存する場合、そのパソコンを勝手に使われればしょうがないがキーボードのロガーは回避出来る。
まぁ何れにしても盗もうとすればどんな手段でも可能なので、まずはパスワードの桁数を増やし、複雑にして最低限、ネット上で改竄されない手段を講じておけば、後は物理的に盗み出すしかないので、盗む側もリスクが高く、相当の目的が無ければ手は出してこない。
勿論、LINEやFacebookなどSNSには手を出さない事も重要だ。
おれ、IT業界長いけどSNSやらなくても何にも困ってないし不便に感じない。
コメント