パスワードを忘れた? アカウント作成
Close
1101 story
OS

パスワードってどうしてる? 77

ストーリー by Oliver
foobar123 部門より

bravo 曰く,"OSDNサイトもそうだが、自分のアカウントのパスワードはどう管理していますか?
サイトが多くて管理しきれないのでパスワードは全部一緒とか、実はIDと同じとか、セキュリティ上問題のありそうな設定にしている人って結構いるのではないでしょうか。また、上手く管理するコツなどがあれば提言していただきたい。"

自分の管理しているサイトでは新しいパスワード設定時に辞書等と比べて弱そうなパスワードを受け付けない様にしているが、たまに忘れるから簡単なパスワードを登録させろと怒るユーザがいて困る。そんな時には任意の英文を考えて、その中の単語の最初の文字をとってパスワードを作れ、と教えている。あなたのパスワード選択のコツは?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

パスワードってどうしてる? More

  • Keyring for PalmOS (スコア:4, 参考になる)

    by hiromasa (1041) on 2001年09月13日 16時56分 (#22397)
    Keyring for PalmOSを使っています。 パスワード生成は、自動生成機能にたよっています。 これだと、どこでもパスワードを取り出せるので便利です。
  • 組み込みシステムに「一々ユーザのパスワードがいいかわるいか評価 するコードなんぞ入られねぇよ」なんて思っている人はいませんか?

    そんなことはありません。H2NP.NETではコンパクト、高速、汎用的で、リーズナブルなパスワード評価を行う関数を公開しています。入力される文字の遷移状態を評価してポイントをつける方法を使い、パスワードのエントルピーの擬似計算をします。組み込むことを考えて強さ、長さのスレッシュホールドを柔軟に選ぶことができます。

    ここにおいてあるので、自由に組み込んでください。

    実は、どっかのネタに使おうと思って一応Webページ上には載せておいたけど、それっきり忘れていたのを、このネタで思い出しました。

    --
    すずきひろのぶ

  • Re:私の場合 (スコア:3, おもしろおかしい)

    by halhal (2180) on 2001年09月13日 18時53分 (#22453) 日記
    むかし、銀行の暗証番号を「彼の誕生日」にしていたのですが、何年もしてそいつと別れてから引き出そうとして、思い出せずに焦りました。。。

  • Re:Keyring for PalmOS (スコア:3, 参考になる)

    by hiromasa (1041) on 2001年09月13日 23時31分 (#22516)
    PalmOS にはアプリケーション間のメモリ保護機能がないのを知っ ておく必要があります.Palm では,ソフトウェアA から,ソフトウェア B のメモリ空間を読み取ることができてしまいます.

    PalmOSに備わっているパスワードロック機能によって保護されたデータは, ロック解除された時点,他のソフトウェアからは保護されていません.

    また,ソフトウェアによる独自の暗号化によって保護されたデータも,復 号された時点で,他のソフトウェアからは保護されていません.

    つまり,いわゆる常駐ソフトのようなものからは保護されていないのです. ですから,悪意のあるソフトウェアがPalmOSにインストールされていると, 秘密データが盗まれる可能性があります.そして sync 時に,秘密データ がPC に取り込まれ,そのPCから秘密情報が漏るかも知れません.

    PC に取り付き,sync によって PalmOS に潜り込むトロイの木馬に 気をつける必要があるのです.

    よってPalmOS上では,Keyring for PalmOS だけでなく,秘密情報の保護 を目的としたソフトウェアを使うときは,以下の点に気をつけると良いと 思います.
    • sync する PC を限定する.
    • sync する PC の守りを固める.
    • Palm にインストールするソフトウェアを吟味する.


    # もちろん,Palm を他人に貸さない,盗まれない,というのも必要
    # ですけどね.

  • Re:やっぱりmkpasswdかな (スコア:3, おもしろおかしい)

    by mera (2504) on 2001年09月14日 1時01分 (#22545) ホームページ 日記
    だいじょうぶ、社長にはアカウント発行してないから。

  • 任意の英文 (スコア:2, 興味深い)

    by kubota (64) on 2001年09月13日 16時38分 (#22386) ホームページ 日記

    そのうち、クラック用辞書には英語のことわざの頭文字とかが載るようになるのではないでしょうか。でなければ... そこそこ長い英文を考えるのが難しい。 This is a pen. → Tiap だったら短すぎだし。それよりかは、日本語文のローマ字表記の頭文字とかのほうが、もととなる素材のレパートリーがたくさんとれるので、クラックされにくいかも。たとえば「このきなんのききになるき」→ knknnnkknnrk (って、これじゃだめじゃん)。

  • サイトやサービス、マシンごとにユーザー名と安全そうなパスワードを設定して、しかもどこにどんな名前・パスワードを使ったかという事を忘れないようにするって、とても面倒な事ですね。確かにMicrosoftが"Hailstorm"なんて物を思いつくのにも一理ありますね。
    もっともそれも結局最初の入口はユーザー名とパスワードな訳ですから、結局それを忘れたら何にもならないけど。

    自分は割り切って、いくつかのパターンを組み合わせてます。これだともしも忘れても、いくつかの組み合わせを試せばたいていはOKだから。

  • pam-ldap NIS file ... (スコア:2, 参考になる)

    by cooper (4658) on 2001年09月13日 16時54分 (#22396) 日記
    パスワードの管理という意味では、本社のサーバが増えてきたので、最近 pam-ldap による管理を検討してたりします。pop も imap もこれにしてしまいたい。NIS よりも、今後のメインストリームな感じがするので。

    パスワードをどうやって決めているか? という意味では、

    「わいやってへんで~」→ Y8@teHenD-

    みたいな語呂あわせにしてます。昔の UNIX MAGAZINE でもこんなのが紹介されていたので、覚えている人もいるのでは?

    ちょっと前までは 8 文字までしか受け付けないシステムもあったりしましたけどね。
    --

    -- cooper

  • いろんなパターンの併用 (スコア:2, 参考になる)

    by masashi (569) on 2001年09月13日 17時01分 (#22399) 日記
    自分チとか,外部に接続されてる環境とか,それぞれごとに強度の違うパスワードを,独自のパターンルールを作って設定してます.
    その中には,固有名詞の頭文字もあれば,固有名詞もあれば,日本語からアルファベット+数字への語呂合わせも,人に教えられないヤツも,いっぱいあります.
    タダサイトとか,Webの掲示板とか,どーでもいいところは,かなりいーかげんで,しかも「同じ物」を使いまわしたりしてます.
    でも,重要なやつは自分なりに忘れづらく破られづらいのを個別に適用してます.
    --
    masashi

  • アカウント毎に変えてます。 (スコア:2, 参考になる)

    by sinkope (230) on 2001年09月13日 17時07分 (#22401) 日記
    確かに答えにくい質問ですね~。

    ワタシは基本的にアカウント毎に違うパスワードを設定しています。
    かつ、それらはメモを見なくても大丈夫なように。

    少し具体的には、ある基本となる文字列(これは辞書には無いデタラメなもの)を用意し、それにサイトのドメイン名等の特徴的な英数字を、ある方法で操作(これは、頭の中で演算出来るレベル)して掛け合わせると、パスワードが出来るという次第。
    この「タネとなる文字列」と「演算方法」がわからない限り、パスワードを1個2個見られても類推は出来ないハズ‥‥と自分を納得させて運用しちょります。

    こういう質問もまぁ面白いですが、個人的には「サーバのroot(あるいはAdministrator)のパスワードを組織内でどのように管理しているか?」の方が興味あるかな。

  • /dev/randomで生成 (スコア:2)

    by norihiro (479) on 2001年09月13日 17時08分 (#22403) 日記
    ランダムな文字列を考え出すのって意外に大変なので、
    /dev/randomを見て適当に文字列をつくるプログラムを
    (いま探したらソースが見つからない)ちょろっと書いて使ってます。
    キーワードと対応するサイトをファイルにメモしてGnuPGで暗号化
    (さすがにこのパスフレーズは自分で考えましたが)すれば大抵の場合
    安全かなと思っています。

  • password (スコア:2, 参考になる)

    by Cutlet Curry (4119) on 2001年09月13日 17時14分 (#22406)
    っていう8文字だけは、使ってません。
    --
    モデレート したいときには 権利なし
    かつかれー
  • 管理者の不慮の事故や失踪によりパスワードを知る人間が居なくなった場合って、困りますよね。

    私が昔、社内のヘッポコ管理者をやってた時は、
    裏から見えないようにした紙にパスワードを印刷したもの
    を封印(割り印など)して、
    社長室の金庫に保管してもらっていました。
    毎月のパスワード変更時に封印されていることを確認してそれを破棄、
    新しいものをまた金庫に。
    なんて事をしてました。

    他に良い方法が見つからなかったのでこういう事をしていましたが、
    実際には皆さんどのようにしてるのでしょう。

  • Re:8文字英数字だと、あんまりなぁ… (スコア:2, 興味深い)

    by nackey (3237) on 2001年09月13日 19時43分 (#22463)
    昔、期限が来ると強制的に変えさせられる(しかも、同じパスワードにはしばらく変えられない)システムを使わされていましたが、結局いくつかのパスワードをぐるぐる使いまわすだけになってしまいました。

    重要なデータを保持していたり、外に晒されていたり(加えて外部の監査が入ってたり)するシステムのパスワードは自発的にあれこれ考えて更新してたりしたので、システムで頑張るのはあまりよろしくないのではないかとその頃は(今でもですが/笑)思っていた次第。

  • Re:私の場合 (スコア:2)

    by argon (3541) on 2001年09月13日 22時39分 (#22503) 日記
    同様の基準でつけた暗証番号なので、何年経っても一発で思い出せます。

    というか、新しい暗証番号をつける理由がないだけですが。
    他人様に説明するようなものでもなし。
  • ここに出てきたコメントを解析することにより、現在よりももっとクレバーなクラックツールを作れそうな気がする。
    杞憂であろうか。
    #という理由で、自分のネタは書かないでおく
    --
    char *A;
    モータースポーツ部 [slashdot.jp]

  • レコード(CD)番号がお勧め (スコア:2, 参考になる)

    by Anonymous Coward on 2001年09月13日 23時43分 (#22523)
    僕は、お気に入りのレコード番号にしています。 例えば、「RCD10510」「WPCR-10927」とか。 付箋なんかに書いてモニタに張ってあるとバレバレだけど、 コンピュータの近くに音楽CDがあっても変じゃないのがいい。 やったこと無いけど、パスを忘れてもミュージシャンの名前とタイトルを 覚えていれば、Webで検索できたりもするかもしれない。 ちなみに上の番号はフランク・ザッパの「いたち野郎」と ピーター・アイヴァースの「ターミナルラブ」
  •  ボクもいくつかあるですけれど、基本的に、脈絡のない英数字になっているですの。それに、パスワードを破られるかもしれないという気持ちでやっているです。

     今のところは、別段サーバーを管理していたりするわけではないので、ウェブ上でサービスを受ける際になりすまされるのが一番怖いかなとも思っているですが、それにしてもそんなにたいしたことがないようにも思われるので、破られやすそうなものから、いくつかパスワードを持っているですの。

     踏み台にされたりとか、なんかいろいろあるみたいですけれど、いまいち実感がわかないのと、詳細がよくわかってないのがあって、パスワードの話を含めて、セキュリティに疎いのが現状ですの。

     ・・・でも、よくよく考えてみると、会社で利用しているパスワードが一番単純だったりして(汗)・・・ユーザ名=パスワード・・・。
    --
    -------- SORAMINE Yukino

  • Re:たしかに面倒 (スコア:2)

    by argon (3541) on 2001年09月14日 23時54分 (#22816) 日記
    じゃあ、確認してないんですよねぇ。
    気になって勤務先の某システムに接続したら、 みごと oracle/oracle !(x_T)

  • わざと間違える作戦 (スコア:1)

    by akyd (4676) on 2001年09月13日 16時36分 (#22385) 日記
    よくやるのは、ある文章(単語)の一部をわざと間違える(typo)。
    communication→komunikation とか。
    これなら辞書にはひっかからないかな、とおもってますがどうでしょう。
  •  各種のパスワードは全部違う文字列、大文字小文字数字記号混じり、タッチタイプのできない私が目をつぶってキーボードを打ったものです。
     もちろん覚えられるわけがありませんので、これらを一つのファイルにまとめ、そのファイルを暗号化した上で、暗号解除のパスワードだけ、覚えられるものにしています。
     一つのパスワード破られると全部パー、という意味では「どこのサイトでも一緒」と同レベルですけど、サイト管理者が悪意を持っていても被害が他に広がらない、という意味では、まあ、ちょびっとマシだと思ってます。
  • さらに
    o -> o(zero)
    i -> 1
    の変換をして生成しております。
  • 昔、まだ住友銀行だった頃のインターネットバンキングでは、SSLクライアント証明を用いていた時期があったような気がします。ブラウザのバージョンによってうまくいかないなど問題も多かったようで、今はやめちゃったみたいですが、SSLクライアント証明が最もスマートな方法だとは思います。

    で、そうじゃないサイトでのパスワードはどうしてるかっていうと、正直、個人情報が漏れる恐れが無いアカウントについては全部いっしょか、IEに記憶させちゃってますね...。

  • 私の場合 (スコア:1)

    by oltio (3848) on 2001年09月13日 16時46分 (#22390) 日記

    これまでに挙がっているような方法で子音文字列が できたら、そこから駄洒落変換で数字や記号に変換 します。(例: banana→ba7のように)

    また、サイト毎にパスワードを変えるために、 共通するパスワードにサイト名(または連想するもの)を くっつけてから変換しています。

    忘れた時に思い出す方法というのも重要ですね。 私の場合、素として使う単語はその当時ハマっている 事物にちなむ事が多いのですが、 昔登録したパスワードを忘れてしまった時は、 当時何にハマっていたかを必死になって思い出す、 という作業から始まります。日記やメールを読み返したり 本棚を漁ってみたり…

  • さらにリバースしてます

  • Re:任意の英文 (スコア:1)

    by wanabee (2827) on 2001年09月13日 16時49分 (#22394) 日記
    英文頭文字抽出に通じるものがあると思いますが、私は最近のIT略語を適当に組み合わせて、そこに記号や数字を織り交ぜたりしてます。

    例:Asp+cRm2

    略語の意味を覚えることもできて一石二鳥?
    --
    今年の目標考え中

  • それは (スコア:1)

    by mizzz (2753) on 2001年09月13日 16時51分 (#22395) ホームページ
    教えられないかも・・・。:-)

  • ほとんど全部SSH… (スコア:1)

    by nackey (3237) on 2001年09月13日 17時03分 (#22400)
    ですから、パスワードじゃなくってパスフレーズですね。
    一部パスワードもありますが、フレーズの頭文字や中間から取り出してそれを各種記号でつなぐという感じ。

    パスフレーズ自体はそのマシンを入れたときの経緯+そのとき思い入れのある文章が多いけど、忘れっぽいので忘れないように各地を巡回(笑)するのが意外にたいへんです。

    最近は某広域分散プログラムの稼動状態を見るために巡回しているので、比較的忘れずにすんでるかも。

  • Re:わざと間違える作戦 (スコア:1)

    by teltel (1423) on 2001年09月13日 17時14分 (#22407) 日記
    s -> 5
    q-> 9
    なんかも使ってます。

  • なるほど、興味深い手法です。子音母音の区別を 導入するなど、いろいろな拡張がありえますね。

    メモリーに余裕があるのなら、 全文字間の遷移確率をcrackなどの辞書から収集して おいて、与えられたパスワードの確率を計算、 なんて方法も考えられますが、すずきさんの方法に 比して向上するかどうかはわからないな。

  • Re:それは (スコア:1)

    by pierre (2749) on 2001年09月13日 17時45分 (#22420) 日記
    たしかに、管理方法等を書いちゃうことは、それ自体がすでにセキュリティ上の問題となりかねないですな。

  • Re:私の場合 (スコア:1)

    by JunK (780) on 2001年09月13日 18時08分 (#22426) 日記
    > 昔登録したパスワードを忘れてしまった時は、
    > 当時何にハマっていたかを必死になって思い出す、
    > という作業から始まります。
    > 日記やメールを読み返したり本棚を漁ってみたり…

    ソーシャルエンジニアリングに通じるものがありますね B-)
    --
    -- JunK
  •  プライベートなやつ。一般業務で使うやつ。システム 管理者として使っているやつ。…てな具合ですね。 『鳥あたま』なもので、これ以上パスワードを覚えよう とすると、一番使っていないパスワードを忘れちゃう。 …というか、この程度の数なら適宜に『リフレッシュ』 がかかるから、ビット落ちしないということね。

     で、こいつらは半年以内に「マイナーチェンジ」を 実施しています。…というか、正確にはしなきゃ いけない状況となる。具体的に言えば緊急避難的に グローバルサイドで生パスワードを使わなきゃならん 事が時々あるということね。

     う~ん。『どんなパスワード?』じゃなくて、『どんな パスワード管理?』になっちゃったけど、要点はこっち じゃないかしらん。どんなに優れたパスワードを考え 付いたとしても、永久に使いつづけられる可能性はまず 無いわけだし。

    --
    --- Toshiboumi bugbird Ohta
  • 私も自分のアカウントは、いくつかのパターンを組み合わせてます。

    BTW
    自分が見てきた、ユーザーoracleって、PASSもoracleってパターンが多かったです。
    ですので、ユーザーoracleのPASSをSQLsaverとしたこともありました。
    盲点だと思ったのですがどうでしょう?
    ちなみに退社するときに、全てのPASSを変更してと言ってきたので
    探してもそのサーバは見つからないはずです。
    --
    AMIGA4000T(60/50)使い
  • boot -s

    最近のSolaris(*BSDもか?)は、シングルユーザになるときにもrootのパスワードを聞いてくるのよ。

    CD-ROMブートがおすすめだろうねえ。

  • mkpasswd で生成した後、記号を混ぜたり大文字小文字の数を調整してみたり粘土細工のように辞書にありえないような長いパスワードを作り、それぞれの人に付箋紙で手渡ししてます。
    たいていの人は一度設定すると捨てちゃったりするのでパスワードを忘れたって来た時には再発行したり、こっちで保管したパスワードをまた付箋紙に書いて渡したり。

    まだ人数が少ないうちはまだ楽かも。

  • ネット上のサービスなどでよくあるのが、
    英数字8文字までしか使えない、
    それでいて「セキュリティのために一ヶ月に一回程度はパスワード変更してね」って奴。
    自分の怠慢を人に押し付けてるようにしか思えん。

    #記号をOKにするか、20文字以上入れさせてくれれば…

    しかし、ああいうパスワードをちゃんと月に一回、
    律儀に変更してる人っている?
    ごめん、俺はやってない。
    --
    # mishimaは本田透先生を熱烈に応援しています
  • mkpasswdみたいなパスワードジェネレータは自分で作ってありますけど、やっぱランダムな文字列はやっぱり覚えにくいので・・・。
    ということで

    ある単語+似た字形のに記号数字に置き換える+文字列をリバース

    としてます。
    これなら、自分には覚えやすく、他人に(一瞬ぐらいなら)見られても覚えられにくいパスワードを量産できます。

  • AppleScript (スコア:1)

    by beatak (2475) on 2001年09月13日 18時52分 (#22452)
    むかぁ~し書いた AppleScript でパスワードをランダムに生成する。桁数、大文字、小文字、記号文字を含むか、をダイアログ形式で選ぶだけ。サイコロみたいに気に入らなかったら、やり直しできるし、覚えられそうなのが出てきたら、それはひたすら覚える。で1週間もしたら、指が覚える、と。

    ソースを公開したいけど、元ネタがあるし、今となってはそれが誰かもわかんないから、問い合わせしようもないし・・5年も前だから時効かな?

  • Re:AppleScript (スコア:1)

    by umq (4421) on 2001年09月13日 19時17分 (#22456) 日記
    > 元ネタがあるし、今となってはそれが誰かもわかんないから、

    RanPasswordてのはMac使ってた頃に利用してました。
    これかな?
  • その付箋を社長はデスクの上&ディスプレイにはっつけてます。
  • Javaで適当な言葉を入れると、ランダムっぽい文字列を生成するプログラム自作して使ってます。
    簡単な言葉(の、組み合わせ)を覚えておけば忘れてもすぐにパスワードは復元できるわけでそれなりに使えます。
    内部的にはむやみとハッシュしまくりのかなり汚いコードなので誰にも見せられないですが(汗)
    --
    /.configure;oddmake;oddmake install

  • オフトピ (スコア:1)

    by itse (3903) on 2001年09月13日 20時32分 (#22472) ホームページ 日記
    ここのパスワードは20文字までなのか
    32文字までなのかはっきりしてほしい。
    [ユーザー情報編集]でパスワード変更時は
    6-32ってなってるけど、
    クッキー使用可にしてない画面とか
    ユーザー作成、ログイン画面はなぜに6-20?

    /. も /.J もおなじみたいだけど・・・

  • Re:Keyring for PalmOS (スコア:1)

    by keita (844) on 2001年09月13日 20時58分 (#22478) 日記
    最近Palm買ったのでパスワードをPalmで管理しようと
    思ってたんだけどこんなのがあったのね、
    いい機会なのでこれを使おうっと。

    でもPalmってパスワードの入力にそれなりに時間が
    かかるうえに入力がそのまま表示されちゃうので
    このソフトの管理自体にちょっと不安があったり。
    その辺なにかポイントありますでしょうか?

  • 日本語 (スコア:1)

    by liquor (355) on 2001年09月13日 21時29分 (#22484) ホームページ 日記
    日本語キーボードを使ってた頃は、
    「あしたはくもり」→「3dqfhml」
    って、打ってたりしました。

    英語キーボードにしてからは
    別な方法にしてますけど。
    #さすがに2byteコードは使いません

  • 至福の秘密 (スコア:1)

    by BJ (1487) on 2001年09月13日 21時31分 (#22486) ホームページ
     ですね、パスワード(フレーズ)っていうと。^^
     それは置いておいて、自分は「システムを構築したときにふと思いついた言葉」に数字記号を混ぜて作っています。
     当然忘れやすいので、キリリックの筆記体でメモを残します。これなら、筐体に張っておいても安全(いやいや実際は別のところに保存していますよ)。 
  • 基本フレーズ+サイトに関連する言葉

    foobarHP1100とか。(HP-UX 11.00のマシン)

    バージョンやIPアドレスを含めるのがポイント?
    --
    Tak.Miyoshi

  • 家内にはナイショ (スコア:1)

    by monaka (4489) on 2001年09月13日 22時27分 (#22500)
    かつての彼女のあだ名をベースに、適宜数字記号を混ぜて使っています。
    --
    from もなか
typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである