パスワード・暗証番号について前々から疑問な事があります。

パスワード・暗証番号について前々から疑問な事があります。
パスワードの管理方法について、どこでも以下の事が推奨されています。
・パスワードは定期的に変更すること
・複数のサイトで同一のパスワードを使わないこと
・英数を混ぜて使う事

確かにそれは間違いではないと思うのですが、自分はそれが本当に果たして安全なのか？とよく疑問を感じます。
なぜなら、人間というのは『忘れる』生き物だからです。
上の三つを厳守すると、大抵の人はパスワードを覚えることが出来ません。
利用する本人が忘れてしまい、ログイン出来なくなってしまうという憂き目になりがちです（自分も経験ありです）。
そうなるとどうなるかというと、以下の様な事が散見されます（実際に目撃します）。
・パソコンのそばにパスワードを書いた紙を置いてしまう
・デスクトップにパスワードを書いたテキストファイルを置いてしまう
・携帯のメモ機能などを使って、そこにパスワードのリストを書いてしまう

こういう状況になると、尚更危険？と感じる事もあります。
本当にパスワードの変更や使い分け、各種文字の混在というのは安全なのでしょうか？
疑問に感じています。

勿論IDと同一、生年月日と同一、電話番号などと同一。
これが論外なのは言うまでもありません。
ただ、難し過ぎたり、あまりに大量のパスワードを作らせたりするのは、実際問題無理を感じます。
どうなのでしょうか？　どう思いますか？

No.8 ベストアンサー 回答者： mimi003 回答日時： 2010/06/11 10:37

はじめまして

全てリスクの問題だと思います。
同じパスワードの危険性は、どこか一つがばれると全てが開錠できてしまうことですので、異なるパスワードには意味があります。
また、下記の様な方法でも、リスクをある程度回避することで、セキュリティレベルを高める事は可能です。

> ・パソコンのそばにパスワードを書いた紙を置いてしまう

　職場にあるPCならば、あまり好ましくはありませんが、社外の人が絶対入らないようなセキュリティで、社内の人も全て信用できるのならば、OKだと思います。

> ・デスクトップにパスワードを書いたテキストファイルを置いてしまう

　テキストのまま置いて置くのはコンピュータウィルス等が怖いので回避したほうがよいですが、暗号化してあるのならば、OKだと思います。

> ・携帯のメモ機能などを使って、そこにパスワードのリストを書いてしまう

　携帯のメモに関してもパスワードロックがかかっているのならば、OKだと思います。

私の場合は、大切なパスワードに関しては、全てランダム英数字で保護してます。
当然自分自身も覚えてられないので、指紋認証のUSBメモリを持ち歩き、その中にパスワードリストをもってます。
こんな回答でよいのでしょうか？

この回答へのお礼

ありがとうございました。
そこまで徹底してパスワードを管理していれば、基本的に大丈夫でしょうね。

ただ、そうやってパスワードのメモを何らかの方法で取ってしまう人に限って、僕が知る限りでは、防護策が何にも取れていないというケースがほとんどなので、心配です。

お礼日時：2010/06/13 05:46

No.9 回答者： pokapoka1980 回答日時： 2010/06/12 23:04

話をインターネットに絞りますが、パスワード認証は、

辞書攻撃や総当り攻撃のような、比較的簡単なプログラムで機械的にクラック出来るため、
「セキュリティの弱い」認証機能です。

そのため、サイト側は、パスワードに厳しい要件を課すことによって、多少でもセキュリティを高めようとしています。

ただ、「定期的な変更」や「無差別な文字列」などの要件で、どの程度セキュリティが高まるか、と言えば、正直なところ、機械的なクラックに対しても、盗み見などの人為的なクラックに対しても無意味に近いです。（全くの無意味では無いですが、、、）

とは言っても、サイトを運営している企業としては、何か問題が発生した場合に、もしそのような推奨が無ければ、「努力を怠った」と言われかねず、それを避けるため、有効かどうかの検証もなしに、ただただ推奨している企業も多いと私は思っています。

この回答へのお礼

ありがとうございます。
僕は基本的に、定期的な変更は、無差別な文字列、それだけだと高まる事は高まるとは思いますが、実際それをさせると、それを上回る程のポカを人間はしてしまうんじゃないかという風に思います。
パスワードのメモを取ってしまい、それが人に見つかってしまう、というミスです。
人は「忘れる」生き物ですからね。

まあ、とはいうものの、あらかたの対処法を取っておかないと、後でなんかあった時に企業責任を問われるという可能性はあるので、結果や効能はさておいて、推奨しているのでしょうね。

お礼日時：2010/06/13 05:57

No.7 回答者： ani00 回答日時： 2010/06/10 02:29

こんばんわ

仰る事はよくわかります。
私も仕事柄、以前はよくこの手の出来事の解決をさせられました。
ただ、海外では情報の使い方自体が日本国内よりも重要視されていてその辺の教育も徹底されてますから
ま、私は日本人なんですが、仕事を始めた際に外資系の厳しい教育を受けていた性も在り、その辺は必要だなと考えております。
PWの定期的な変更は、ある程度親しい人間だとそれを知ってしまう為に、その人間に成りすまし、改ざんや情報の漏洩を防ぐ為です。　次に複数のサイトで同一の場合、情報漏洩でPWがばれてしまった場合に関係者しか入手できずそれを利用されてしまう事でお金になる情報を盗まれてしまう可能性があるからです。　さらに英数を混ぜて使うのは、PWの解析は人力でやるのではなく専門のツールと呼ばれる物を使って行なうので、そこの解析が単一の文字列からだと単純に簡単に解析されるからです。（確率的にHITする時間が減るので）　ま、セキュリティの基本は性悪説なので、知られたら悪用されるが前提ですから。
　ちなみに実はPWを管理するソフトもあるのです。　そこまで行くと本末転倒の様な気もしますが、このレベルは最低レベルの管理では在ります。
知る限りの最高レベルだと生体認証を３つで、外部とは完全に切り離したネットワークとPWを１分毎に変更と言うのも世の中には在るそうです。ちなみにそのPWは１６桁程度の物だとか・・・
之はあくまでも私の知る限りなので、現在ははるかに凄いかも知れません。
後は、下の方も仰ってますが、日本では盗まれるか判らないPWや情報にそこまで機材も手間もかけられないと判断されているので、この辺を行なっている様子です。
ちなみに、これ以外だとお金のある所だと、各クライアントにカードロックと生体認証を混ぜてログイン管理している会社も在ります。これらは昔と比べて数段に安くなっているのでもしかすると将来にはポピュラーになるかも知れません。
ちなみに金の無い所だと、IT部の部長でも金を払いたくないから会社のセキュリティソフトも無料のが良いとのたまう素敵な方もいらっしゃいます。　私は其処とはすぐに縁を切りましたので、その後は知りませんが、その内にすげー事が起きそうで、ちょっとワクワクしてます。
ま、話がそれましたが、それをする事でISO対策もしているよ（低コストで）と言うので入れているだけだと思いますし、正直、一般の方じゃ質問者さんの言うとおりでしょう。
それに其処まですごいデータは基本サーバで管理して個人のPCからは見れない様にしないと意味がありません。　ので、実は企業のポーズの為にやらされていると言っても良いかも（日本の場合）
こんなとこで。参考にでもなれば良いですな。　
PS,実は私も相当臍曲がりですよ。特に尊敬できない年上にはね。

この回答へのお礼

ありがとうございます。
勿論、パスワードを頻繁に変えて、なるだけ複雑なパスワードにすると、安全性は高まりますが、やはりコストが安い分、安全性には限界がある上に、利用者にとっての負担が増えて行くという物なんですね。
理想は高い、けど現実問題無理。
これが結局つきまとっていると思います。

お礼日時：2010/06/10 04:47

No.6 回答者： hallo_haro 回答日時： 2010/06/10 00:13

ナンバー５で回答した者です。

ゴチャゴチャ書いて結論を書き忘れました。

私は、情報が漏れても良いような場所は簡単に短い共通のパスワードで管理してます。

情報漏れが起きてはまずいところは、
忘れては困るので、覚えやすい程度の長さと複雑さで設定してます。
メモを残さず覚えなので、サイトへのアクセスパスは共通にしてます。

ファイルサーバなどでは、ファイルやフォルダにも、
暗号化ソフトでもう一つパスワードをかけるなど２重にします。
（ワードエクセルなどオフィス標準のパスワードは簡単に破れるので使いません）

何かの参考になれば幸いです。

この回答へのお礼

ありがとうございます。
結局のところ、大事な情報と、そうでもない奴で、少々使い分けるのも重要そうですね。
漏れたら絶対に困る銀行などの暗証番号やパスワードと、そうでもない娯楽関係のパスワードは、分けた方がよさげですね。

お礼日時：2010/06/10 04:29

No.5 回答者： hallo_haro 回答日時： 2010/06/10 00:06

パスワード管理については、その道の者と初心者レベルの者とに

温度差があるのは実感です。

長さ、英数まぜこぜなどは実際にクラッキングしてみると分かります。
解析にかかる時間が複雑さで顕著に違います。
つまり、不正アクセスは結構な割合で防げる（あきらめてもらえる）のも事実です。
（私の場合、もちろん自分の管理サイト内での検証のみですが）

この辺りもよく分からない一般ユーザーですと、メモを貼るなどの人的ミスが出ます。

この環境では、簡単でも良い。但し絶対にメモは貼らない。
忘れても聞きやすい（再設定しやすい）職場環境をつくる。
これ結構大事です。

ＩＤとパスが同じ設定のものでは、過去に何度か実際に不正アクセスを受けた経験があります。
（わざと実験してみるために利用）

逆に簡単で短いものでもマイナーなサイトなどのものは
一度も被害に遭ってません。

なお、
＞有料のストレージというのが、お金はかかるし、信頼性がどれぐらいかというのが気になりますね。

有料無料の一番の違いは、責任の所在では？と思います。
無料に預けて情報漏れをしたなら、ストレージ管理会社に責任は問いきれません。

有料の場合、自社の責任が少しは軽減されます。
（ストレージ管理会社に責任をもたせられる）

No.4 回答者： e0_0e_OK 回答日時： 2010/06/09 22:06

No.3 e0_0e_OK です。

大事なことを書き忘れていました。

Excelファイルにはパスワードを掛けています。

そしてこのファイルは日常はパソコンに保存せずに、有料で信頼の置ける外部(ネット)ストレージサービスに預けています。

この回答へのお礼

なかなかすごいですね。　でも、有料のストレージというのが、お金はかかるし、信頼性がどれぐらいかというのが気になりますね。
ありがとうございます。

お礼日時：2010/06/09 23:34

No.3 回答者： e0_0e_OK 回答日時： 2010/06/09 21:43

私は大胆にもExcelで一覧表を作成して必要に応じてプリントアウトしていますが、生のパスワードではなくてパスワードを連想できる合い言葉的なものを書き込んでいます。

例えば誕生日にするにしても、親兄弟やペットのイニシアルだけ(例、t)を記録しておいて、実際のパスワードは「tama0101」であったりします。さらにこの何桁目には特殊記号を２つくらい入れるという風に細工しています。

具体的には
**銀行=t
△証券=h というように。

No.2 回答者： aspick001 回答日時： 2010/06/09 19:36

その通りですよね。

数４桁だの英数混ぜて８桁だのいつも忘れてしまいます。
しかも手帳や携帯にメモったら無くしたら全部盗まれるし、いつも苦労してます。
ネットでサーバーにデータを保管出来るソフトもありますが、それ自体が信用出来ないですよね。何がセキュリティかが分からず、何とかして欲しいといつも思います。

この回答へのお礼

完璧にパスワードを守る方法ってないのかも知れませんね。
ありがとうございます。

お礼日時：2010/06/09 23:18

No.1 回答者： kotoby2003 回答日時： 2010/06/09 19:06

おっしゃるとおりだと思いますよ。

本気で安全にやるなら、パスワード発生装置を使って運用すると完璧です。
予算的にそこまでやれないから、やむを得ず、今のような形にしているのが普通、というところでしょう。

実際、パスワードを突破された例はそうそうないでしょう。

この回答へのお礼

ありがとうございます。　やはり、予算的な問題で、現実とそぐわないことが推奨されてるんでしょうね。
非常に絶対にどうしても不正アクセスが決して許されない！　ってものでなければ、オーバースペックな対処なのかも知れませんね。

お礼日時：2010/06/09 22:44