対象:ITコンサルティング
回答数: 4件
回答数: 5件
回答数: 6件
井上 みやび子
Webエンジニア
3
パスワードを暗記しなくてもいい方法を考えるのはいかがですか
どんな情報を守るかに寄りますが、個人的には国家秘密や人命にかかわるような事を守っていないので、その点ご承知下さい。(笑)
すぐ使える株式会社の井上と申します。
パスワードの運用は面倒ですよね。分かります。
私の運用方法をご案内すると、実は、暗記していません。
どこで使っているかを書かずに、別のノートにパスワードを設定した日付と、パスワードそのものや、特定の文字だけを伏字にしたり、自分だけに分かる「秘密の質問」の形式で書いておきます。
どのようなパスワードにするかという事については、ランダムな文字の組み合わせの短い(8文字など)パスワードよりは、ある程度覚えやすい言葉や名前などを含む長いパスワードにしています。ただし、後者はログイン先システムが長いものを許可している場合ですが。
辞書にあるような言葉を使う場合は、
・大文字小文字を混ぜる
・複数言語のつづりを使う
・アルファベットのオーを数字のゼロ、エルをイチに読み替える
などの変換をしています。
自分でシステムを開発する際のパスワードの設定は(繰り返しますが、あまりクリティカルでない Web アプリケーションです)、お客様から特に指定やシステム上の制約がない限り
・桁を固定しない
・長目の文字数まで許可する
・記号や数字の混合を必須にしない
としています。
覚えにくいパスワードをパソコンに貼られてしまったりずっと使い続けられるより、適当に覚えやすいものをどんどん変えて使って頂いた方がいいと考えているためです。
また、ユーザが覚えずどんどん再発行をしてもらう前提で、システムで指定したランダム文字列をだけを使う、という方式にする場合もあります。このような場合、割合頻繁に再発行リクエストがあります。
「攻撃に堅牢だと思うか」については、狙い撃ちで攻撃されたらひとたまりもないものもあるだろうな、というのが正直なところですが、パスワードの強度自体よりは頻繁に変えるという事の方が業務システムのパスワード管理には重要だと考えています。
補足
日常の運用をする場合の一つの考え方ですが、以前に同様のテーマを扱ったコラムがありますので、ご参照下さい。
(今読むとちょっと運用方針が変わっていますが。)
「パスワードの決め方」
http://profile.allabout.co.jp/w/c-16591/
「Web システム開発時の一般的なセキュリティ対策(2)」
http://profile.allabout.co.jp/w/c-45263/
(現在のポイント:1pt)
この回答の相談
お世話になっております。以前から先生方にパスワードや暗号の運用を相談させていただいております。今回も例によってその手の相談です。
さて、世に普及しているパスワード運用のガ… [続きを読む]
Moriya, Tomoさん (東京都/32歳/男性)
このQ&Aに類似したQ&A