パスワード、どうやって管理している？

パスワード、どうやって管理している？ 82

ストーリー by headless 2014年02月23日 15時58分
管理部門より

本家/.「Ask Slashdot: How Do You Manage Your Passwords?」より

たくさんのパスワードを使わなくてはならないのは、ITプロフェッショナルの多くに共通の悩みだと思う。年を重ね、パスワードの数が増えていくと、すべてを覚えるのは次第に難しくなってくる。いつかは忘れてしまう時がくるだろう。当然だがLastPassや1Passwordのようなオンラインサービスは利用できない。すべてのシステムで同じパスワードを使うのも当然問題外だ。携帯電話で使えるパスワード管理ソフトも知っているが、オフラインモードで使うにしてもセキュリティーリスクがあり、雇い主はパスワードを携帯電話に保存することを快く思わないだろう。YubiKeyのようなハードウェアトークンも調べてみたが、ほとんどのシステムで認証方法の変更は認められていない。Pitbull Walletにも興味を持ったが、Indiegogoでキャンペーンが開始されたばかりで、8月までは入手できない。Amazonでもパスワード管理ハードウェアが入手可能だが、価格やレビューを見ると手が出しにくい。皆さんはどのようにパスワード管理をしているだろう。また、どのような方法がおすすめだろうか。

パスワード管理方法に関する質問は過去にも何度か出ているが、2014年現在、おすすめの方法はどのようなものがあるだろう。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索82コメント Log In/Create an Account

なんも対策しないやつらのパスワードはあらかた入手したので・・・ (スコア:5, すばらしい洞察)

by kohzoh (34869) on 2014年02月23日 16時05分 (#2550248) 日記

ちょっとは守りを固めている奴らのパスワードをいただくために手の内を公開してもらおう、というアンケート調査に思えなくもない。
- Re:なんも対策しないやつらのパスワードはあらかた入手したので・・・ (スコア:3, すばらしい洞察)
  
  by Anonymous Coward on 2014年02月23日 17時20分 (#2550279)
  
  そんな面倒なことしなくても、普通にセキュリティ意識がない人を狙う方が効率いいよ。
  
  シェア
  
  親コメント
  - Re:なんも対策しないやつらのパスワードはあらかた入手したので・・・ (スコア:2, 興味深い)
    
    by kohzoh (34869) on 2014年02月23日 22時23分 (#2550415) 日記
    
    そうしてセキュリティ意識がない人たちをたくさんクラックしてみたら、対して価値のある情報がなかった。
    んで、セキュリティ意識の高い人たちはそれなりに価値ある情報を持っているからこそ、セキュリティ意識が高いのでは？　ということになり…。
    
    シェア
    
    親コメント
    - Re:なんも対策しないやつらのパスワードはあらかた入手したので・・・ (スコア:1)
      
      by Anonymous Coward on 2014年02月24日 9時53分 (#2550547)
      
      そうです、日本の官僚をごらんください
      ・・・
      あれ？実は国家機密って価値がないのか・・・
      
      シェア
      
      親コメント
これで釣れるんでしょうか (スコア:5, すばらしい洞察)

by NOBAX (21937) on 2014年02月23日 16時32分 (#2550261)

＞皆さんはどのようにパスワード管理をしているだろう。
＞また、どのような方法がおすすめだろうか。
>2014年現在、おすすめの方法はどのようなものがあるだろう。

このような情報の開示は、
クラックの参考にされる危険性があっても、
他の人の参考になるとは思えませんが。
- Re:これで釣れるんでしょうか (スコア:1)
  
  by Anonymous Coward on 2014年02月23日 19時11分 (#2550351)
  
  ここに書いたくらいでクラッカーに見破られるような手法なら
  もう対策されていると思っていい。
  パスワード破りに技術力が必要だった時代は遥か彼方だ。
  このストーリーの目的としては、現代のセオリーの確認と
  自力で思いついたやり方がどれだけ馬鹿げているかを
  他人に指摘されて反省するための場だ。
  傷が浅いうちにさっさと問題点が見つかるほうがいいだろう。
  うちも個人ではKeePassを使う。
  パスワードは自動生成させる。
  ブラウザのパスワードマネージャは使わない。
  業務はグループウェアの個人フォルダに個別のHTMLファイルで管理。
  metaタグでキャッシュさせない。
  普段引き継ぎがあるときは公開先を追加している。
  事故で死んだらグループウェア管理者にアカウントを開けてもらうよう伝えている。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ＞ここに書いたくらいでクラッカーに見破られるような手法なら
    ＞もう対策されていると思っていい。
    
    なるほど。あなたが開示した方法は時代遅れなわけですな。
    - Re:これで釣れるんでしょうか (スコア:2)
      
      by nobanner (41086) on 2014年02月24日 1時29分 (#2550482) 日記
      
      やり方を知られただけでは突破されないという自信があるから説明しているのでは？
      
      シェア
      
      親コメント
      - Re:これで釣れるんでしょうか (スコア:1)
        
        by Anonymous Coward on 2014年02月24日 7時52分 (#2550517)
        
        このツリーとか上のツリーとかがスコア5になってるの見ると、暗号アルゴリズムも秘密にしたほうが安全とか本気で思ってそうでマジ怖い
        
        シェア
        
        親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  私のパスワード管理方法：　具体的な管理方法について人と議論しない
  おすすめの管理方法：　人がすすめている方法をむやみに採用しない
  - Re:これで釣れるんでしょうか (スコア:5, おもしろおかしい)
    
    by Anonymous Coward on 2014年02月23日 16時57分 (#2550272)
    
    その結果「誰も勧めない123456にしました」「誕生日にしました」とかなりそうだしむしろこのツリーこそがソーシャルハックではないか
    
    シェア
    
    親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  プロならとりあえずパスワード管理ソフトぐらい自分で作るよな。
  セキュリティは突き詰めれば自分以外信用しないことだし。
  自宅なら持ち運ばない手帳に書いて机に閉まって置くのがベストだろ？
  ライフスタイルでオススメは変わってくるのだからそこの前提無しで聞かれても困る。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    机にしまうってその字で正しいの? おしえて文化庁 [srad.jp]! (OKWaveのミラーサイトではありません)
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ISPに住所氏名教えてる時点でお前の負け
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      住所氏名をISPに教えないと、インターネットに接続できないと思い込んでるお前の負け
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    プロならパスワード管理ソフトなんて使用できないです。
    自分の作ったソフトが完璧だと思う馬鹿はどこにいるのでしょう。
    パスワードをメモに書いておくように、ソフトに保存させるなんて冗談でしょう?
    きちんと、頭に保存してくださいよ。
    できない人は、パスワードを使用する世界から引退するべきです。
myIDkey (スコア:5, 興味深い)

by shimashima (2013) <{shima4} {at} {gmail.com}> on 2014年02月23日 16時46分 (#2550268) ホームページ日記

遅れに遅れて未だに出荷されていませんが、myIDkey [myidkey.com]を予約しています。到着したら基本的にこれに一本化する予定です。
音声認識、指紋認証、Bluetooth接続、USB接続、iOS/Android対応と一通りそろっているのでこれでいいかなと。
今はオンライン格納で微妙ですがLastPassを利用しています。また、ネットバンクについてはThinkPadの指紋認証を利用しています。
個人での取得は予算を含めて難しいですが、クライアント証明書が普及すればそれでもいいのですが…。
セキュリティレベルが不明 (スコア:4, すばらしい洞察)

by M-FalconSky (8868) <reversethis-{moc ... als+ykS.noclaFM}> on 2014年02月23日 16時29分 (#2550258) ホームページ日記

オンラインサービスに保存できない、まではわかるけど、それが全てのパスワードってことはないと思う。
厳しいレベルのものは手帳クラス:手動
少し緩いのはパスワード管理ソフト:ローカルのファイル
さらに緩いのはパスワード管理サービス:オンラインのデータ
とすれば、パスワードでどうにかしないといけないのはだいたいカバーできる気がする。
なお、これとは別軸で二要素認証が使えるなら、それ、かなぁ? (普通にHOTP使えればいいので、YubiKeyにこだわらなくていいと思うし)
# 全部を最高レベルってのは破綻すると思うな
自分は最高はほぼなくて、緩い系はローカルとオンラインを(手動)同期させつつ使ってる。(登録/変更は両方いっぺんにやる、だけ)
とにかく同じパスワードは使わない、に尽きる。

--
M-FalconSky (暑いか寒い)
KeePass (スコア:3)

by nobanner (41086) on 2014年02月23日 16時24分 (#2550256) 日記

KeePassまかせです。
KeePass Password Safe http://keepass.info/ [keepass.info]
- Re:KeePass (スコア:1)
  
  by Anonymous Coward on 2014年02月23日 16時36分 (#2550262)
  
  まあそうなんだけどね・・・
  エニグマ (暗号機)を思い出した
  暗号機を作って利用していたのは第二次大戦中のドイツで
  なかなか複雑で破られないだろうと思われていたが英国は解読に成功した
  そして解読に成功した事を公表せず、得た解析結果はここぞという重要情報だけ利用するという運用手段がとられた
  戦後も英国が解読可能なことを知らすにいくつかの国が利用していました
  というわけでPassword管理ツールのクラックに成功してダマテン（ヤミテン）されると怖いな～と思いつつ、Password管理ツールのお世話になってます。
  コレよりリーズナブルかつセキュアな方法あるな？
  ちなみに互換性のあるAndorid版とかは使わない方向で運用中
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    P=NPが証明されたなら(しかも構成的に具体例付きで)それはそれで素晴らしい人類の進歩ではないか。
基本パスワード+端末固有パスワードで (スコア:2, 興味深い)

by Anonymous Coward on 2014年02月23日 16時30分 (#2550259)

暗記できて問題は出ない程度に複雑にしてるな。
７743exesg024WebSrv002
|　基本部　|　端末固有部　|
みたいな。これくらいなら暗記できるしなー
#紙、書類には基本書かない。納品物なら話別だけど。
- Re:基本パスワード+端末固有パスワードで (スコア:3, すばらしい洞察)
  
  by Anonymous Coward on 2014年02月23日 17時43分 (#2550297)
  
  どんなに暗記できてると思っていても、1年ぶりくらいだとすっかり忘れてたりします。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    毎日ログイン時に手で打ってれば忘れないけど、毎日キーロガーやBaidu IMEにキャプチャの機会を提供するとかちょっと考えられない。パスワードマネージャー使いたい。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      危険はキーロガーだけではないですよ。
前半と後半に分けて、別々に保管 (スコア:2)

by med (5464) on 2014年02月24日 8時17分 (#2550523)

半分は手帳に手書き、半分はPCの管理アプリとか。
家なら紙に書く (スコア:1)

by Anonymous Coward on 2014年02月23日 18時11分 (#2550318)

サイト毎に複雑なパスワードを入れるならこれが唯一な方法だと思う
＃家庭内に悪意ある人がいない前提だが、パソコンやスマホにメモするよりかは幾分セキュアかな？
- Re:家なら紙に書く (スコア:2)
  
  by sindobook (35700) on 2014年02月24日 10時31分 (#2550554)
  
  少なくともネットワーク越しにクラックされる恐れは無い。そして自分でも置いた場所を忘れればさらにセキュアに...
  必要になったら家中を家探しして見つけるのです。この手間・時間を暗号強度と考えると、置き場所忘れた場合の強度は3時間ぐらい...
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  銀行の貸し金庫とかありえないし、やっぱ余ったお金もタンス預金に限るよね。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    アホか。
    釣りにしてももう少し捻って欲しい。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    目的に合っていれば良いでしょうね。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  類似品だけど、テキストファイルにメモして、暗号化したものを外付けHDDやUSBメモリ等に保存。
  必要な時だけ復号化してブラウザにコピペとかしてる。
  もちろんメモリ自体は、それなりに物理的に保護してあるのが大前提。
  ＃紙に手書きは、「ふっかつのじゅもんがちがいます」の悪夢再びが怖い。
PasswordMakerに移行したいが…… (スコア:1)

by nimu.akh (37694) <nimu.zh3NO@SPAMzoho.com> on 2014年02月23日 18時42分 (#2550337) 日記
PasswordMaker [passwordmaker.org]は１つの Master Password とサイトごとのURLなどを結合したものをハッシュしたものをパスワードとするという仕組み [passwordmaker.org]で，一般的な Password Manager とは異なり（デフォルトでは）内部に一切パスワードを保存しないというもの．仕組みはいいなと思っているのだけど，今までのパスワードの変更がめんどくさいという理由で移行していない．
ちょっと気になるのが，
- 1つのサイトのパスワードが流出したなどで，そこだけパスワード変えるというのは面倒そう．
- サイトのURLが変わったとき面倒そう．（Microsoftとか）
プリキュア37人全員の名前をパスワードにした。 (スコア:1)

by Anonymous Coward on 2014年02月23日 18時54分 (#2550344)

プリキュア37人全員の名前をパスワードにした。
入力が大変だが、1人でも言えないと偽者がインしようとしていると判断される。
ただしスラド的には、だいたい嫁の名前がパスワードになっているので破れそうである。
※なぜか母はインできる。
- Re:プリキュア37人全員の名前をパスワードにした。 (スコア:2)
  
  by nobanner (41086) on 2014年02月24日 1時16分 (#2550478) 日記
  
  艦娘１５８種の型式名全部を……
  
  シェア
  
  親コメント
- Re:プリキュア37人全員の名前をパスワードにした。 (スコア:2)
  
  by sindobook (35700) on 2014年02月24日 10時39分 (#2550556)
  
  アンパンマンやポケモンのキャラクター全てをパスワードにした猛者はおらんかね。
  
  シェア
  
  親コメント
- - Re:プリキュア37人全員の名前をパスワードにした。 (スコア:3, おもしろおかしい)
    
    by shibuya (17159) on 2014年02月23日 20時39分 (#2550386) 日記
    
    キュアエコーをなかったことにするのと同値なプリキュア37人全員ということならわたしは絶対使いたくないです。
    
    シェア
    
    親コメント
    - Re:プリキュア37人全員の名前をパスワードにした。 (スコア:2)
      
      by miyuri (33181) on 2014年02月24日 0時16分 (#2550454) 日記
      
      ・プレフィクス『キュア』無しのルミナス、ローズ抜き
      ・別形態扱いのブライト、ウィンディ抜き
      ・鉢プリ4[人]含
      ・フラワーとエコー込
      とすれば、丁度37[人]に。
      
      シェア
      
      親コメント
LastPass使ってるけど、ダメなん？ (スコア:1)

by bd089p (45531) on 2014年02月23日 18時55分 (#2550345)

っと、思ったけど、仕事の話か。
確かに、仕事上のアカウントの認証は預けたくないね。
そもそも社内ネットワークからサービスに繋げられないかもしれないし。
私用で使うなら、Lastpassは悪くないと思う。
ネットに繋がればどの端末でも使えるし、AndroidもWindowsもLinuxも対応してるし。
推測しにくい固定生成アルゴリズム (スコア:1)

by Anonymous Coward on 2014年02月23日 20時39分 (#2550387)

ログインに使うアカウント文字列
パスワードを要求するシステム、サービス、端末名
のふたつから一定のルールで生成していますが、記憶にはないが5年前に取得していたアカウントまで含めて対応できています。
infoseek→rakuten なんかのサイト名が変わっている事例でもそれを覚えているならそのルールからパスワードを思い出せています。
私自身が急逝してしまうことの対策について、遺書相当のものにこのルールを書いており、親しい関係者もその事実を伝えてあります。
紙に書いて金庫にしまう (スコア:1)

by wokanoyu (30711) on 2014年02月24日 0時07分 (#2550452) ホームページ

　金庫がない場合は、油紙に包んで便所のタンクの天井に貼り付けるとか

--
#Insanely great!
#をかのゆ
- Re:紙に書いて金庫にしまう (スコア:1)
  
  by Anonymous Coward on 2014年02月24日 9時19分 (#2550541)
  
  侵入者が一番先にチェックするところだとか
  昔、某番組で大切なものを隠す場所に薦めたかららしい
  
  シェア
  
  親コメント
おいおい (スコア:1)

by Anonymous Coward on 2014年02月24日 0時43分 (#2550471)

>LastPassや1Passwordのようなオンラインサービスは利用できない
いつから1passwordがオンラインサービスになったんだよ。DropboxかiCloudでの同期はできるがオプションであり、wi-fiでの同期が可能。
オンライン上にデータを置く必要はない。
本家側のタレコミ主の無知のせいだろうけど。
「パスワードに引退してもらう」とか寝言言う人たちのステマ臭い (スコア:0)

by Anonymous Coward on 2014年02月23日 16時12分 (#2550251)

いちゃもんだらけで、パスワードは管理できない。パスワードは危険。と素人を誘導したいだけじゃないの
- Re: (スコア:0)
  
  by Anonymous Coward
  
  パスワードはパスワードで当面使うとして、
  手入力用のパスワード以外の標準化された個人認証方式も確かに欲しい恭子の頃。
  まあ現状なんとかなってるっちゃあなんとかなってるし、今後も当面耐えられると言えば耐えられるんだけど、
  標準化されれば周辺ツールや使い勝手も良くなるかなと。
  一括リセットとか無効化とかバックアップがえいや！でできるといいな～。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    もしかして: クライアント証明書、ssh暗号鍵
    - Re:「パスワードに引退してもらう」とか寝言言う人たちのステマ臭い (スコア:1)
      
      by haginov (32812) on 2014年02月23日 22時36分 (#2550425) 日記
      
      賛成。
      秘密鍵ファイルを使えば良いと思うよ!
      
      シェア
      
      親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  管理できない危険なパスワード方式を素人に使い続けさせてカモにしたい人たちのステマ臭い
- Re:管理ツールを作れ (スコア:1)
  
  by Anonymous Coward on 2014年02月24日 1時04分 (#2550475)
  
  あと、自分が乗る車の車輪も再発明しないとね。
  
  シェア
  
  親コメント
- Re:パズワード、どうやって管理している？ (スコア:2)
  
  by fcp (32783) on 2014年02月24日 8時55分 (#2550531) ホームページ日記
  
  パズワードって、クロスワードパズルの親戚みたいなもの?
  
  シェア
  
  親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

なんも対策しないやつらのパスワードはあらかた入手したので・・・ (スコア:5, すばらしい洞察)

Re:なんも対策しないやつらのパスワードはあらかた入手したので・・・ (スコア:3, すばらしい洞察)

Re:なんも対策しないやつらのパスワードはあらかた入手したので・・・ (スコア:2, 興味深い)

Re:なんも対策しないやつらのパスワードはあらかた入手したので・・・ (スコア:1)

これで釣れるんでしょうか (スコア:5, すばらしい洞察)

Re:これで釣れるんでしょうか (スコア:1)

Re: (スコア:0)

Re:これで釣れるんでしょうか (スコア:2)

Re:これで釣れるんでしょうか (スコア:1)

Re: (スコア:0)

Re:これで釣れるんでしょうか (スコア:5, おもしろおかしい)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

myIDkey (スコア:5, 興味深い)

セキュリティレベルが不明 (スコア:4, すばらしい洞察)

KeePass (スコア:3)

Re:KeePass (スコア:1)

Re: (スコア:0)

基本パスワード+端末固有パスワードで (スコア:2, 興味深い)

Re:基本パスワード+端末固有パスワードで (スコア:3, すばらしい洞察)

Re: (スコア:0)

Re: (スコア:0)

前半と後半に分けて、別々に保管 (スコア:2)

家なら紙に書く (スコア:1)

Re:家なら紙に書く (スコア:2)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

PasswordMakerに移行したいが…… (スコア:1)

プリキュア37人全員の名前をパスワードにした。 (スコア:1)

Re:プリキュア37人全員の名前をパスワードにした。 (スコア:2)

Re:プリキュア37人全員の名前をパスワードにした。 (スコア:2)

Re:プリキュア37人全員の名前をパスワードにした。 (スコア:3, おもしろおかしい)

Re:プリキュア37人全員の名前をパスワードにした。 (スコア:2)

LastPass使ってるけど、ダメなん？ (スコア:1)

推測しにくい固定生成アルゴリズム (スコア:1)

紙に書いて金庫にしまう (スコア:1)

Re:紙に書いて金庫にしまう (スコア:1)

おいおい (スコア:1)

「パスワードに引退してもらう」とか寝言言う人たちのステマ臭い (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:「パスワードに引退してもらう」とか寝言言う人たちのステマ臭い (スコア:1)

Re: (スコア:0)

Re:管理ツールを作れ (スコア:1)

Re:パズワード、どうやって管理している？ (スコア:2)