引き続き、Defensive Sevurityのミートアップから。
パスワードに関しては、結局のところ、パスワードジェネレーターを使って生成・管理するのが一番だろうという事だった。
KeePass はパスワードを生成して、サイトと一緒に管理できるソフト。一覧からURLのサイトを開いたり、パスワードをクリップボードにコピーして使うソフトである。この手のソフトはマスターパスワードが必要で、作成したパスワード一覧のファイルを開くときに必要。つまり、マスターパスワードが弱いパスワードではもちろん意味はないし、忘れてしまえば一切開く事はできないので、その点の管理具合も考慮する必要がある。
しかしながら、こういったパスワード管理ソフトを使わずとも、自分で強固なパスワードを作る事はできると思う。強固なパスワードの条件としては、ざっくりと書くと以下になる。
・文字数が多い
・記号、数字が含まれている
・大文字、小文字が含まれている
上記ソフトで使用しているが、Hacker Jargonというものがある。Google Hackerバージョンでも使われてる。これを使えばパスワード管理ソフトはなくてもいけるかもしれない。Hacker Jargon はアルファベットを記号や数字で置き換えて表現するもので、例えばDは|>としたり、Fを#、Aは4 といった感じだ。置き換えられない(難い)アルファベットもあるのでそれはそのまま使っるようなので、それを大文字や小文字にすればパスワード的には強固なものとなっていき、自分の好きな単語を使えるので覚えやすいだろうと思う。
password であれば、P455//4rd といった感じになる。これで自分なりの置換を決めて置くとどんな単語でも使う事ができる。もちろん、password を置換しても普及し過ぎてるパスワードなので、効力はないと思う。
これで自分なりのパスワードを管理したとしても、サイトはクラック(悪意あるハック)された場合、パスワードとメールアドレスなどがセットで盗まれた場合は、この管理も意味がなくなる可能性もある。そのため、サイト毎に作るか、数種類のパスワードを作っておき、サイトの特色ごとに管理したり、有料・無料で管理したりといった工夫も必要になるかもしれない。
管理ソフト使っても、自分流にやっても、メリット、デメリットはあるし、ブラウザにパスワードを保存させる方法を使っていたら、全く無意味でもある。業務用ならしっかりすべきだが、個人の情報がはたしてどこまで守られるべきなのか、もう一度考えてみても良いのかもしれない。盗まれるのは嫌だけど、盗まれても困らないというか、痛くない物もあるはず。
