パスワード・暗証番号について前々から疑問な事があります。
パスワードの管理方法について、どこでも以下の事が推奨されています。
・パスワードは定期的に変更すること
・複数のサイトで同一のパスワードを使わないこと
・英数を混ぜて使う事
確かにそれは間違いではないと思うのですが、自分はそれが本当に果たして安全なのか?とよく疑問を感じます。
なぜなら、人間というのは『忘れる』生き物だからです。
上の三つを厳守すると、大抵の人はパスワードを覚えることが出来ません。
利用する本人が忘れてしまい、ログイン出来なくなってしまうという憂き目になりがちです(自分も経験ありです)。
そうなるとどうなるかというと、以下の様な事が散見されます(実際に目撃します)。
・パソコンのそばにパスワードを書いた紙を置いてしまう
・デスクトップにパスワードを書いたテキストファイルを置いてしまう
・携帯のメモ機能などを使って、そこにパスワードのリストを書いてしまう
こういう状況になると、尚更危険?と感じる事もあります。
本当にパスワードの変更や使い分け、各種文字の混在というのは安全なのでしょうか?
疑問に感じています。
勿論IDと同一、生年月日と同一、電話番号などと同一。
これが論外なのは言うまでもありません。
ただ、難し過ぎたり、あまりに大量のパスワードを作らせたりするのは、実際問題無理を感じます。
どうなのでしょうか? どう思いますか?
No.8ベストアンサー
- 回答日時:
はじめまして
全てリスクの問題だと思います。
同じパスワードの危険性は、どこか一つがばれると全てが開錠できてしまうことですので、異なるパスワードには意味があります。
また、下記の様な方法でも、リスクをある程度回避することで、セキュリティレベルを高める事は可能です。
> ・パソコンのそばにパスワードを書いた紙を置いてしまう
職場にあるPCならば、あまり好ましくはありませんが、社外の人が絶対入らないようなセキュリティで、社内の人も全て信用できるのならば、OKだと思います。
> ・デスクトップにパスワードを書いたテキストファイルを置いてしまう
テキストのまま置いて置くのはコンピュータウィルス等が怖いので回避したほうがよいですが、暗号化してあるのならば、OKだと思います。
> ・携帯のメモ機能などを使って、そこにパスワードのリストを書いてしまう
携帯のメモに関してもパスワードロックがかかっているのならば、OKだと思います。
私の場合は、大切なパスワードに関しては、全てランダム英数字で保護してます。
当然自分自身も覚えてられないので、指紋認証のUSBメモリを持ち歩き、その中にパスワードリストをもってます。
こんな回答でよいのでしょうか?
ありがとうございました。
そこまで徹底してパスワードを管理していれば、基本的に大丈夫でしょうね。
ただ、そうやってパスワードのメモを何らかの方法で取ってしまう人に限って、僕が知る限りでは、防護策が何にも取れていないというケースがほとんどなので、心配です。
No.9
- 回答日時:
話をインターネットに絞りますが、パスワード認証は、
辞書攻撃や総当り攻撃のような、比較的簡単なプログラムで機械的にクラック出来るため、
「セキュリティの弱い」認証機能です。
そのため、サイト側は、パスワードに厳しい要件を課すことによって、多少でもセキュリティを高めようとしています。
ただ、「定期的な変更」や「無差別な文字列」などの要件で、どの程度セキュリティが高まるか、と言えば、正直なところ、機械的なクラックに対しても、盗み見などの人為的なクラックに対しても無意味に近いです。(全くの無意味では無いですが、、、)
とは言っても、サイトを運営している企業としては、何か問題が発生した場合に、もしそのような推奨が無ければ、「努力を怠った」と言われかねず、それを避けるため、有効かどうかの検証もなしに、ただただ推奨している企業も多いと私は思っています。
ありがとうございます。
僕は基本的に、定期的な変更は、無差別な文字列、それだけだと高まる事は高まるとは思いますが、実際それをさせると、それを上回る程のポカを人間はしてしまうんじゃないかという風に思います。
パスワードのメモを取ってしまい、それが人に見つかってしまう、というミスです。
人は「忘れる」生き物ですからね。
まあ、とはいうものの、あらかたの対処法を取っておかないと、後でなんかあった時に企業責任を問われるという可能性はあるので、結果や効能はさておいて、推奨しているのでしょうね。
No.7
- 回答日時:
こんばんわ
仰る事はよくわかります。
私も仕事柄、以前はよくこの手の出来事の解決をさせられました。
ただ、海外では情報の使い方自体が日本国内よりも重要視されていてその辺の教育も徹底されてますから
ま、私は日本人なんですが、仕事を始めた際に外資系の厳しい教育を受けていた性も在り、その辺は必要だなと考えております。
PWの定期的な変更は、ある程度親しい人間だとそれを知ってしまう為に、その人間に成りすまし、改ざんや情報の漏洩を防ぐ為です。 次に複数のサイトで同一の場合、情報漏洩でPWがばれてしまった場合に関係者しか入手できずそれを利用されてしまう事でお金になる情報を盗まれてしまう可能性があるからです。 さらに英数を混ぜて使うのは、PWの解析は人力でやるのではなく専門のツールと呼ばれる物を使って行なうので、そこの解析が単一の文字列からだと単純に簡単に解析されるからです。(確率的にHITする時間が減るので) ま、セキュリティの基本は性悪説なので、知られたら悪用されるが前提ですから。
ちなみに実はPWを管理するソフトもあるのです。 そこまで行くと本末転倒の様な気もしますが、このレベルは最低レベルの管理では在ります。
知る限りの最高レベルだと生体認証を3つで、外部とは完全に切り離したネットワークとPWを1分毎に変更と言うのも世の中には在るそうです。ちなみにそのPWは16桁程度の物だとか・・・
之はあくまでも私の知る限りなので、現在ははるかに凄いかも知れません。
後は、下の方も仰ってますが、日本では盗まれるか判らないPWや情報にそこまで機材も手間もかけられないと判断されているので、この辺を行なっている様子です。
ちなみに、これ以外だとお金のある所だと、各クライアントにカードロックと生体認証を混ぜてログイン管理している会社も在ります。これらは昔と比べて数段に安くなっているのでもしかすると将来にはポピュラーになるかも知れません。
ちなみに金の無い所だと、IT部の部長でも金を払いたくないから会社のセキュリティソフトも無料のが良いとのたまう素敵な方もいらっしゃいます。 私は其処とはすぐに縁を切りましたので、その後は知りませんが、その内にすげー事が起きそうで、ちょっとワクワクしてます。
ま、話がそれましたが、それをする事でISO対策もしているよ(低コストで)と言うので入れているだけだと思いますし、正直、一般の方じゃ質問者さんの言うとおりでしょう。
それに其処まですごいデータは基本サーバで管理して個人のPCからは見れない様にしないと意味がありません。 ので、実は企業のポーズの為にやらされていると言っても良いかも(日本の場合)
こんなとこで。参考にでもなれば良いですな。
PS,実は私も相当臍曲がりですよ。特に尊敬できない年上にはね。
ありがとうございます。
勿論、パスワードを頻繁に変えて、なるだけ複雑なパスワードにすると、安全性は高まりますが、やはりコストが安い分、安全性には限界がある上に、利用者にとっての負担が増えて行くという物なんですね。
理想は高い、けど現実問題無理。
これが結局つきまとっていると思います。
No.6
- 回答日時:
ナンバー5で回答した者です。
ゴチャゴチャ書いて結論を書き忘れました。
私は、情報が漏れても良いような場所は簡単に短い共通のパスワードで管理してます。
情報漏れが起きてはまずいところは、
忘れては困るので、覚えやすい程度の長さと複雑さで設定してます。
メモを残さず覚えなので、サイトへのアクセスパスは共通にしてます。
ファイルサーバなどでは、ファイルやフォルダにも、
暗号化ソフトでもう一つパスワードをかけるなど2重にします。
(ワードエクセルなどオフィス標準のパスワードは簡単に破れるので使いません)
何かの参考になれば幸いです。
ありがとうございます。
結局のところ、大事な情報と、そうでもない奴で、少々使い分けるのも重要そうですね。
漏れたら絶対に困る銀行などの暗証番号やパスワードと、そうでもない娯楽関係のパスワードは、分けた方がよさげですね。
No.5
- 回答日時:
パスワード管理については、その道の者と初心者レベルの者とに
温度差があるのは実感です。
長さ、英数まぜこぜなどは実際にクラッキングしてみると分かります。
解析にかかる時間が複雑さで顕著に違います。
つまり、不正アクセスは結構な割合で防げる(あきらめてもらえる)のも事実です。
(私の場合、もちろん自分の管理サイト内での検証のみですが)
この辺りもよく分からない一般ユーザーですと、メモを貼るなどの人的ミスが出ます。
この環境では、簡単でも良い。但し絶対にメモは貼らない。
忘れても聞きやすい(再設定しやすい)職場環境をつくる。
これ結構大事です。
IDとパスが同じ設定のものでは、過去に何度か実際に不正アクセスを受けた経験があります。
(わざと実験してみるために利用)
逆に簡単で短いものでもマイナーなサイトなどのものは
一度も被害に遭ってません。
なお、
>有料のストレージというのが、お金はかかるし、信頼性がどれぐらいかというのが気になりますね。
有料無料の一番の違いは、責任の所在では?と思います。
無料に預けて情報漏れをしたなら、ストレージ管理会社に責任は問いきれません。
有料の場合、自社の責任が少しは軽減されます。
(ストレージ管理会社に責任をもたせられる)
No.3
- 回答日時:
私は大胆にもExcelで一覧表を作成して必要に応じてプリントアウトしていますが、生のパスワードではなくてパスワードを連想できる合い言葉的なものを書き込んでいます。
例えば誕生日にするにしても、親兄弟やペットのイニシアルだけ(例、t)を記録しておいて、実際のパスワードは「tama0101」であったりします。さらにこの何桁目には特殊記号を2つくらい入れるという風に細工しています。
具体的には
**銀行=t
△証券=h というように。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・人生のプチ美学を教えてください!!
- ・10秒目をつむったら…
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・【大喜利】【投稿~9/18】 おとぎ話『桃太郎』の知られざるエピソード
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ユニクロやGUのシフト管理アプ...
-
LINE TCBというところからLINE...
-
Excelのセルにユーザー名...
-
iPhoneのiCloudメールなよです...
-
インスタの捨て垢で友達のスト...
-
インスタの乗っ取り解除につい...
-
YouTubeが毎回ログインしないと...
-
メールアドレスを人に教えるの...
-
メールアドレスで上付きのハイフン
-
存在しないアドレスにメールを...
-
インスタのアカウントが削除さ...
-
カカオで退会せずに、アプリだ...
-
メールアドレスから個人を特定...
-
「@」(アットマーク)の無いメ...
-
解約済みの iPadについて 解約...
-
CSVファイルを添付するときにパ...
-
携帯電話を解約してもSMSの受信...
-
韓国人アドレスnaver.com
-
メールアドレスに自分の名前
-
メールアドレスからどこまで分...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
Excelのセルにユーザー名...
-
YouTubeが毎回ログインしないと...
-
YahooIDをパスワード形式にした...
-
インスタの捨て垢で友達のスト...
-
iPhoneのiCloudメールなよです...
-
携帯電話を解約してもSMSの受信...
-
インスタの乗っ取り解除につい...
-
「@」(アットマーク)の無いメ...
-
メールを返信したら、英語のメ...
-
メールアドレスで上付きのハイフン
-
verify@twitter.comから、メー...
-
星の王子さまというアプリで、 ...
-
CSVファイルを添付するときにパ...
-
LINE TCBというところからLINE...
-
メールアドレス 上バーの入力...
-
ユニクロやGUのシフト管理アプ...
-
インスタのアイコンについてるN...
-
インスタのアカウントの消し方...
-
高一男子です 僕が絶対に悪いん...
-
メールをパスワードつきで送る方法
おすすめ情報