子供が安全にパスワードを保管するには? 38
ストーリー by headless
子供 部門より
子供 部門より
本家/.「Ask Slashdot: How To Keep Students' Passwords Secure?」より
息子の通う小学校ではオンラインリソースの活用を進めており、生徒にChromebookやiPad(学年によって異なる)を割り当てている。場合によっては、教科書を持っていても家に置いたままで、複数のWebサイトで教科書を閲覧するためにユーザー名とパスワードが割り当てられていることもある。さらに、学校で用意されているいくつかのリソースを利用するためのユーザー名とパスワードもある。こういったWebサイトの多くはそれぞれ異なる外部のサービスを利用しているため、子供たちは数多くのユーザー名(サービスごとに形式も異なる)とパスワードを持つことになる。各サービスは小学生の子供たちに対してパスワードを安全に保管し、他人と共有しないことが必要であると強調するが、学校ではユーザー名とパスワードをノートに書かせているようだ。これは非常に悪い習慣と思われるが、学校で提供されるリソースにアクセスするためのパスワード管理方法や、無償または最低限のコストで利用できるシングルサインオンプロセスなどで良いものはないだろうか。
パスワードマネージャ導入 (スコア:3, 参考になる)
LastPassのような生成から管理まで一括管理できるツールを使えばいいと思います。
複雑なパスワードを気軽に使えますし、使い回しをしなくても済むとわかればプライベートでも利用が進みそう。
セキュリティ教育は一般ユーザーに面倒だと思わせたらダメ。
内線電話の裏とかキーボードの裏にポストイット貼るやつが後を絶たない…。
Re:パスワードマネージャ導入 (スコア:2)
パスワードを一括管理するツールは、認証方法がサービスによってまちまちなので妥当なところだと思います。
ただ、個人の不正なパスワード運用を撲滅することにはならないので、
入管・入室カードで、セキュリティルームへの入室を制限する対策が必要でしょう。
※以下、理由
パスワード一括管理ツールは、特定端末からのアクセス許可、あるいは
セキュリティカード(外部記憶)によるアクセス許可と同義だと思われます。
例えば、特定端末のみにアクセス許可をしているのと、特定端末にパスワードを記憶させるのとは同義で、
アクセス者が人目に触れないように携帯したセキュリティーカードで認証するのと、
アクセス者が人目に触れないように携帯したポストイットで認証するのとは同義でしょう。
逆に、特定端末のみのアクセス許可をしていて、その端末のログインが自由だったり、
セキュリティカードがアクセス者以外も触れられる状態だったら、人目に触れる場所に
ポストイットを張るのと大差はないでしょう。
セキュリティ教育は、どちらかというとセキュリティ事故を管理者の責任でなく、
アクセス権保持者の責任にするためのもので、それでセキュリティポリシーに
反するパスワードの個人管理を撲滅することにはなりません。
撲滅したことにはならない以上は、別の対策が必要になります。
それで、落とし所として、入管・入室カードみたいなもので、
ポストイットが見れてはいけない人が入れないようにしているのだと思います。
現実的で安全な管理方法 (スコア:3)
多数のサービスのパスワードを管理する、現実的(管理が楽)で、一応安全性は保たれている方法として、次のような方法をお勧めします。
(例) Slashdot…Ji8H Gmail…M3x9 楽天…N6Hc
(例) Slashdot…nJ5r Gmail…nJ5r 楽天…nJ5r
(例) Slashdot…Ji8HnJ5r Gmail…M3x9nJ5r 楽天…N6HcnJ5r
これにより、リスト型攻撃も完全に防げる上に、手帳やスマホのメモを友達や家族に見られるといったソーシャルハッキングも防ぐことができます。
--
(*1) 理由は、8文字以下のパスワードしか受け付けない糞システムも、8文字以上のパスワードしか受け付けない優良システムも、多くのシェアを獲得しているため。8文字ちょうどのパスワードは経験的に殆どのサービスで使えるので便利である。どちらにもあてはまらない生ゴミ以下のシステム [jal.co.jp]も例外的には存在するが……。
(*2) このタレコミの小学生のケースならば、下4桁は全てのサービスで共通で問題無いと思う。しかし、記憶力に自信があるならば、下4桁の共通パスワードも複数用意した方がより安全性を高めることができるが、そのルールを忘れないようにする必要がある。スラッシュドットのようなログイン画面が平文(HTTP)のサイト、SSL(HTTPS)のサイト、EV SSL のサイトの3通り用意分の共通パスワードを用意するというのも覚えやすい。もしくは、お金が絡まないサイト、クレジットカード会社、金融機関の3つとするなど、お好みで。
Re:現実的で安全な管理方法 (スコア:1)
なぜ秘密にするのか理解しない子供は、共通部にIDを使いまわしそうだ。
きっと、自分だけの秘密 = 厨ニ病的な名前の当てはめもいるだろう。悪くはないが。
Re: (スコア:0)
私は8文字を 7 : 1 に分けて下1桁だけを暗記しています。
Re: (スコア:0)
ログイン失敗でロックがかからないサービスだと若干危ないかなーという気が
Re: (スコア:0)
いいえ。
嘘です。ごめんなさい。
Re: (スコア:0)
言いたいことは分かるけど、こういうのこそ、 Anonymous Coward で書いた方が良いと思うよ。
自分の手の内を明かしているようで、あなたの身が心配w
まぁ、こういうのは、それなりに合理的に見える、自分は使ってない手法を披露しておいて、
自分はもっと高度なことをしているという安心感があるからこそ示すことが出来るんでしょうが・・・と思いたい。
# 4桁は少ないと思います。
Re: (スコア:0)
IDはどう管理するのだろう、というのと。
管理者の悪意による覗きや、パスワードの漏洩時が心配かな。
何らかの事情でパスワード変更が必要になる際、全てのサービスのパスワードのフルリセットを掛ける必要もありそう。
新しい玩具になるだけ。 (スコア:2)
何をしでかすか分らない年代の子供に、何か起きたら大変だってシステムの
管理を任せるのがそもそも無謀なのでは・・・・
IDやパスワードを書かずに覚えましょうって言ったところでどこかに書く子は
必ず居るし、それ以前に言いふらす子供すら出てくるでしょうね。
簡単なバーコードやQRコードが印刷されたカードを児童の人数分用意して
必要に合わせて先生がそれを渡しリーダーで読み取ってって方法が良さそうです。
如何なる内容であろうとACでの書き込みは一切無視します。
Re:新しい玩具になるだけ。 (スコア:2, 興味深い)
義務教育年代の一部には
「友達ならIDとパスワードの押しえっこは当たり前だよね」「教えられないならあなたは友達じゃないさよなら」
という末恐ろしい風潮があるとも聞きます
それを考えるとスマートカードなどを使った物理的二要素認証がいいのかねえ
Re: (スコア:0)
いやスマートカードではだめか。物理的に貸し借りできるデバイスに依存してはだめだ。
すると指紋認証か?しかし指紋認証のAuthenTecをAppleが買収してしまったし
Appleのデバイスでは指紋認証がサードパーティには開放されておらん。
ではウェブカメラなどを使った顔認証やボイス認証か…?
Re: (スコア:0)
ジャイなんとかさん「のび太、お前のID使うから指/顔/声/虹彩/手のひら貸せよ、当然ウチまで持ってこいよ」
Re: (スコア:0)
『謎の円盤UFO』だったかな?1970年代初頭の連続TVドラマで入室のため必要な指紋認証の目的で侵入者(洗脳された女スパイだったと記憶)が男性職員の指紋を謎の力で奪っていた。奪われた側は火傷こさえていたような。
アニメ『バビル二世』ではどこかの少女が誰かのしわさで声帯の手術(機器埋込されたんだっけな)でバビル二世と同じ声紋になっていたような。バベルの塔に侵入するんじゃなくて他の機関だか銀行だかでその声紋を利用していたような。。。
虹彩認証・掌の静脈認証のフィクションは知りませんあしからず。
Re:新しい玩具になるだけ。 (スコア:1)
虹彩認証よりも網膜スキャンのほうが普及しているのだと思ってましたが、いま実際はどうなんでしょうね。
あと、静脈認証は、掌じゃなく、指を使うやつもありますね。指紋と同じ感覚で使えるけど、指紋より肌のコンディションに左右されないのでいいです。
Re:新しい玩具になるだけ。 (スコア:1)
血液検査をして DNA で認証するのに『ガタカ』がありました。 個人的にはセットはチョロいつくりだったけど非常に好みの映画でした。
Re: (スコア:0)
iPhoneの指紋認証は一部のサードパーティで既に利用できてますよ。
と言うわけで、1Passwordを使うのはいかが?
Re: (スコア:0)
SNSとかも、友達を検索するからメールのIDとパスワードを教えてよ、絶対に悪用しないから、と言ってきますよね。
場合によっては(信用できる相手には)パスワードは教えてよいという間違った考えを持つ人が増えてしまうだけだと思います。
Re:新しい玩具になるだけ。 (スコア:1)
そう、パスワードが必要なものを使わせるのが間違い。
トレーニングとしては、ありかも知れないけど、
それも流出してもちょっと困った程度のものに限る。
前回のテストの結果がばれる、、とか。
前提に誤りがあるので、そっちが問題。
> 必要に合わせて先生がそれを渡しリーダーで読み取ってって方法が良さそうです。
こっちが現実的。
長さとか (スコア:2)
オフトピ気味だけど。
子供の場合、パスワードの長さ、使い回し具合、更新頻度は、どういう感じなのだろう。
案外、大人よりも安全かもしれない。
何はともあれ (スコア:1)
子供なら一度失敗してみるのがいいかと・・・
Re: (スコア:0)
俺ら「子供も大人も関係ない。ネット上で失敗やらかした奴は未来永劫晒されるべき。忘れられる権利なんて認めない」
Re:何はともあれ (スコア:1)
でも実際忘れてるよね
Re:何はともあれ (スコア:1)
正確には、本人と敵だけが覚えている、かな
Re:何はともあれ (スコア:1)
新聞がやった失敗や悪は絶対に忘れない。
はじめの一歩 (スコア:1)
・友達にも絶対に教えてはいけない
まずここからでしょ^^
Re:はじめの一歩 (スコア:1)
好きな子やアイドルかアニメキャラの名前にしてるのがけっこういたりして。
Re:はじめの一歩 (スコア:1)
現状、セキュリティや著作権のカリキュラムなんて小中高どこにも組み込まれていないので、どうにか組み込んでもらえないかと切に願います。
技術的にはあるでしょ (スコア:0)
OAuthとかOpenIDとか。それを取引業者に強制できるかとか政治的なハードルがあるだけじゃない?
アクセスする機器に保存していればいいのでは? (スコア:0)
WEBアクセスする機器で管理すればよいと思う。
ユーザ管理できるOSならブラウザーの機能で普通にできるし、
ユーザーの概念がない機器でもID/PWマネージャはフリーでたくさんあるからどうにかなりそう。
私は、重要度によってFireFoxの機能やKeePass、ノートに記載と使い分けています。
※ノートに記載も考えてやればそれほど悪くないよ。
PS. 管理する機械 [kingjim.co.jp]もあるが、結構高いな。
Re: (スコア:0)
教科書の閲覧くらいなら、それで十分でしょうね。重要度は低いですから。
Re: (スコア:0)
記事の問題点は、今回のケースで、記事の様なセキュリティ方針が妥当かどうかではなくて、セキュリティ教育上妥当かどうかやで。
Re: (スコア:0)
ユーザー名とパスワードをノートに書かせるのは
現状の最適解でしょう
覚えちゃダメ (スコア:0)
パスワードを入力するからあかんのですよ
パスワードマネージャで管理したり
それをバイオメトリクス認証でラップすれば
パスワードをメモしたり覚えたりする必要がない
パスワードを覚えさせる方法なんぞより
ログインするか否かを判断出来るだけの
リテラシを持たせるほうが重要
そのリテラシを持つ義務と責任があった上で
享受する自由と権利があるんだと学ばせないとあかん
またバイオメトリクス認証の鍵は自分自身なので
自分自身の価値を学ばせる良い機会でもある
10のID・PW覚える苦行を課すよりよっぽど大切で
楽な方法だと思いますよ
Re: (スコア:0)
むしろパスワードを入力させることが悪なんじゃ?
パスワードを発行する以上は、メモをとられる可能性も、共有される可能性も認めているわけで
そんなもんユーザーが悪いといくら言っても、パスワード発行にあたって責任能力の有無を
無視するなら、学校で提供されるリソースを公表してるのと本質的に変わらない
パスワードを三つに分けて (スコア:0)
三姉妹の背中にそれぞれ刺青しておいて三つを組み合わせないとわからないようにしておく。
Re: (スコア:0)
体温が上昇しないと見えないようにすれば完璧。