パスワードを忘れた? アカウント作成
10695656 story
セキュリティ

パスワード、どうやって管理している? 82

ストーリー by headless
管理 部門より
本家/.「Ask Slashdot: How Do You Manage Your Passwords?」より

たくさんのパスワードを使わなくてはならないのは、ITプロフェッショナルの多くに共通の悩みだと思う。年を重ね、パスワードの数が増えていくと、すべてを覚えるのは次第に難しくなってくる。いつかは忘れてしまう時がくるだろう。当然だがLastPass1Passwordのようなオンラインサービスは利用できない。すべてのシステムで同じパスワードを使うのも当然問題外だ。携帯電話で使えるパスワード管理ソフトも知っているが、オフラインモードで使うにしてもセキュリティーリスクがあり、雇い主はパスワードを携帯電話に保存することを快く思わないだろう。YubiKeyのようなハードウェアトークンも調べてみたが、ほとんどのシステムで認証方法の変更は認められていない。Pitbull Walletにも興味を持ったが、Indiegogoでキャンペーンが開始されたばかりで、8月までは入手できない。Amazonでもパスワード管理ハードウェアが入手可能だが、価格やレビューを見ると手が出しにくい。皆さんはどのようにパスワード管理をしているだろう。また、どのような方法がおすすめだろうか。

パスワード管理方法に関する質問は過去にも何度か出ているが、2014年現在、おすすめの方法はどのようなものがあるだろう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ちょっとは守りを固めている奴らのパスワードをいただくために手の内を公開してもらおう、というアンケート調査に思えなくもない。

  • by NOBAX (21937) on 2014年02月23日 16時32分 (#2550261)
    >皆さんはどのようにパスワード管理をしているだろう。
    >また、どのような方法がおすすめだろうか。
    >2014年現在、おすすめの方法はどのようなものがあるだろう。

    このような情報の開示は、
    クラックの参考にされる危険性があっても、
    他の人の参考になるとは思えませんが。
    • by Anonymous Coward on 2014年02月23日 19時11分 (#2550351)

      ここに書いたくらいでクラッカーに見破られるような手法なら
      もう対策されていると思っていい。
      パスワード破りに技術力が必要だった時代は遥か彼方だ。

      このストーリーの目的としては、現代のセオリーの確認と
      自力で思いついたやり方がどれだけ馬鹿げているかを
      他人に指摘されて反省するための場だ。
      傷が浅いうちにさっさと問題点が見つかるほうがいいだろう。

      うちも個人ではKeePassを使う。
      パスワードは自動生成させる。
      ブラウザのパスワードマネージャは使わない。

      業務はグループウェアの個人フォルダに個別のHTMLファイルで管理。
      metaタグでキャッシュさせない。
      普段引き継ぎがあるときは公開先を追加している。
      事故で死んだらグループウェア管理者にアカウントを開けてもらうよう伝えている。

      親コメント
    • by Anonymous Coward

      私のパスワード管理方法: 具体的な管理方法について人と議論しない
      おすすめの管理方法: 人がすすめている方法をむやみに採用しない

    • by Anonymous Coward

      プロならとりあえずパスワード管理ソフトぐらい自分で作るよな。
      セキュリティは突き詰めれば自分以外信用しないことだし。
      自宅なら持ち運ばない手帳に書いて机に閉まって置くのがベストだろ?
      ライフスタイルでオススメは変わってくるのだからそこの前提無しで聞かれても困る。

      • by Anonymous Coward

        机にしまうってその字で正しいの? おしえて文化庁 [srad.jp]! (OKWaveのミラーサイトではありません)

      • by Anonymous Coward

        ISPに住所氏名教えてる時点でお前の負け

        • by Anonymous Coward

          住所氏名をISPに教えないと、インターネットに接続できないと思い込んでるお前の負け

      • by Anonymous Coward

        プロならパスワード管理ソフトなんて使用できないです。
        自分の作ったソフトが完璧だと思う馬鹿はどこにいるのでしょう。

        パスワードをメモに書いておくように、ソフトに保存させるなんて冗談でしょう?
        きちんと、頭に保存してくださいよ。

        できない人は、パスワードを使用する世界から引退するべきです。

  • myIDkey (スコア:5, 興味深い)

    遅れに遅れて未だに出荷されていませんが、myIDkey [myidkey.com]を予約しています。到着したら基本的にこれに一本化する予定です。
    音声認識、指紋認証、Bluetooth接続、USB接続、iOS/Android対応と一通りそろっているのでこれでいいかなと。

    今はオンライン格納で微妙ですがLastPassを利用しています。また、ネットバンクについてはThinkPadの指紋認証を利用しています。
    個人での取得は予算を含めて難しいですが、クライアント証明書が普及すればそれでもいいのですが…。

  • オンラインサービスに保存できない、まではわかるけど、それが全てのパスワードってことはないと思う。

    厳しいレベルのものは手帳クラス:手動
    少し緩いのはパスワード管理ソフト:ローカルのファイル
    さらに緩いのはパスワード管理サービス:オンラインのデータ

    とすれば、パスワードでどうにかしないといけないのはだいたいカバーできる気がする。
    なお、これとは別軸で二要素認証が使えるなら、それ、かなぁ? (普通にHOTP使えればいいので、YubiKeyにこだわらなくていいと思うし)

    # 全部を最高レベルってのは破綻すると思うな

    自分は最高はほぼなくて、緩い系はローカルとオンラインを(手動)同期させつつ使ってる。(登録/変更は両方いっぺんにやる、だけ)
    とにかく同じパスワードは使わない、に尽きる。

    --
    M-FalconSky (暑いか寒い)
  • by nobanner (41086) on 2014年02月23日 16時24分 (#2550256) 日記

    KeePassまかせです。
    KeePass Password Safe http://keepass.info/ [keepass.info]

    • by Anonymous Coward on 2014年02月23日 16時36分 (#2550262)

      まあそうなんだけどね・・・

      エニグマ (暗号機)を思い出した
      暗号機を作って利用していたのは第二次大戦中のドイツで
      なかなか複雑で破られないだろうと思われていたが英国は解読に成功した
      そして解読に成功した事を公表せず、得た解析結果はここぞという重要情報だけ利用するという運用手段がとられた
      戦後も英国が解読可能なことを知らすにいくつかの国が利用していました

      というわけでPassword管理ツールのクラックに成功してダマテン(ヤミテン)されると怖いな~と思いつつ、Password管理ツールのお世話になってます。
      コレよりリーズナブルかつセキュアな方法あるな?
      ちなみに互換性のあるAndorid版とかは使わない方向で運用中

      親コメント
      • by Anonymous Coward

        P=NPが証明されたなら(しかも構成的に具体例付きで)それはそれで素晴らしい人類の進歩ではないか。

  • by Anonymous Coward on 2014年02月23日 16時30分 (#2550259)

    暗記できて問題は出ない程度に複雑にしてるな。

    7743exesg024WebSrv002
    | 基本部 | 端末固有部 |
    みたいな。これくらいなら暗記できるしなー

    #紙、書類には基本書かない。納品物なら話別だけど。

    • by Anonymous Coward on 2014年02月23日 17時43分 (#2550297)

      どんなに暗記できてると思っていても、1年ぶりくらいだとすっかり忘れてたりします。

      親コメント
      • by Anonymous Coward

        毎日ログイン時に手で打ってれば忘れないけど、毎日キーロガーやBaidu IMEにキャプチャの機会を提供するとかちょっと考えられない。パスワードマネージャー使いたい。

        • by Anonymous Coward

          危険はキーロガーだけではないですよ。

  • 半分は手帳に手書き、半分はPCの管理アプリとか。

  • by Anonymous Coward on 2014年02月23日 18時11分 (#2550318)

    サイト毎に複雑なパスワードを入れるならこれが唯一な方法だと思う

    #家庭内に悪意ある人がいない前提だが、パソコンやスマホにメモするよりかは幾分セキュアかな?

    • by sindobook (35700) on 2014年02月24日 10時31分 (#2550554)
      少なくともネットワーク越しにクラックされる恐れは無い。そして自分でも置いた場所を忘れればさらにセキュアに...
      必要になったら家中を家探しして見つけるのです。 この手間・時間を暗号強度と考えると、置き場所忘れた場合の強度は3時間ぐらい...
      親コメント
    • by Anonymous Coward

      銀行の貸し金庫とかありえないし、やっぱ余ったお金もタンス預金に限るよね。

      • by Anonymous Coward

        アホか。

        釣りにしてももう少し捻って欲しい。

      • by Anonymous Coward

        目的に合っていれば良いでしょうね。

    • by Anonymous Coward

      類似品だけど、テキストファイルにメモして、暗号化したものを外付けHDDやUSBメモリ等に保存。
      必要な時だけ復号化してブラウザにコピペとかしてる。

      もちろんメモリ自体は、それなりに物理的に保護してあるのが大前提。

      #紙に手書きは、「ふっかつのじゅもんがちがいます」の悪夢再びが怖い。

  • PasswordMaker [passwordmaker.org]は1つの Master Password とサイトごとのURLなどを結合したものをハッシュしたものをパスワードとするという仕組み [passwordmaker.org]で,一般的な Password Manager とは異なり(デフォルトでは)内部に一切パスワードを保存しないというもの.仕組みはいいなと思っているのだけど,今までのパスワードの変更がめんどくさいという理由で移行していない.

    ちょっと気になるのが,

    • 1つのサイトのパスワードが流出したなどで,そこだけパスワード変えるというのは面倒そう.
    • サイトのURLが変わったとき面倒そう.(Microsoftとか)
  • by Anonymous Coward on 2014年02月23日 18時54分 (#2550344)

    プリキュア37人全員の名前をパスワードにした。
    入力が大変だが、1人でも言えないと偽者がインしようとしていると判断される。
    ただしスラド的には、だいたい嫁の名前がパスワードになっているので破れそうである。
    ※なぜか母はインできる。

  • っと、思ったけど、仕事の話か。
    確かに、仕事上のアカウントの認証は預けたくないね。
    そもそも社内ネットワークからサービスに繋げられないかもしれないし。

    私用で使うなら、Lastpassは悪くないと思う。
    ネットに繋がればどの端末でも使えるし、AndroidもWindowsもLinuxも対応してるし。

  • by Anonymous Coward on 2014年02月23日 20時39分 (#2550387)

    ログインに使うアカウント文字列
    パスワードを要求するシステム、サービス、端末名

    のふたつから一定のルールで生成していますが、記憶にはないが5年前に取得していたアカウントまで含めて対応できています。
    infoseek→rakuten なんかのサイト名が変わっている事例でもそれを覚えているならそのルールからパスワードを思い出せています。
    私自身が急逝してしまうことの対策について、遺書相当のものにこのルールを書いており、親しい関係者もその事実を伝えてあります。

  •  金庫がない場合は、油紙に包んで便所のタンクの天井に貼り付けるとか
    --
    #Insanely great!
    #をかのゆ
  • by Anonymous Coward on 2014年02月24日 0時43分 (#2550471)

    >LastPassや1Passwordのようなオンラインサービスは利用できない

    いつから1passwordがオンラインサービスになったんだよ。DropboxかiCloudでの同期はできるがオプションであり、wi-fiでの同期が可能。
    オンライン上にデータを置く必要はない。
    本家側のタレコミ主の無知のせいだろうけど。

  • いちゃもんだらけで、パスワードは管理できない。パスワードは危険。と素人を誘導したいだけじゃないの

    • by Anonymous Coward

      パスワードはパスワードで当面使うとして、
      手入力用のパスワード以外の標準化された個人認証方式も確かに欲しい恭子の頃。

      まあ現状なんとかなってるっちゃあなんとかなってるし、今後も当面耐えられると言えば耐えられるんだけど、
      標準化されれば周辺ツールや使い勝手も良くなるかなと。
      一括リセットとか無効化とかバックアップがえいや!でできるといいな~。

    • by Anonymous Coward

      管理できない危険なパスワード方式を素人に使い続けさせてカモにしたい人たちのステマ臭い

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...