セキュリティアーカイブ » 2ページ目 (2ページ中)

パスワードをもっと楽に管理しよう!!

今やインターネットで何かサービスを使うには、ほぼ全てのシステムでIDとパスワードを使って認証します。認証が成功するかはIDの文字列とパスワードの文字列に命運を託しています。IDはどの利用者かを識別するために平文で保管されます。でIDが正しい利用者かを判断するための仕組みが事前に登録したパスワードと同じかどうかで判断します。

右の図のようにIDとパスワードを入力する画面はどんなシステムでも必要です。しかもIDとパスワードは分けた方が良いと言われます。さらに何か月か経過するとシステムにパスワードを変更しなさいと言われ、何回か前に使った同じパスワードはシステムから使いまわしができないと言われ、一生懸命に考えたパスワードはシステムから使えない文字が含まれるとダメ出しされたりして、かなり萎えます…。

パスワードは自分が覚えやすく、人からは意味不明の文字列です。そんな簡単にたくさんと質の良いパスワードを思いつく人は少ないと思います。

いろいろなサイトで安全なパスワードの作り方は教えてくれますが、安全に保管することが難しいです。私が実践している比較的安全に保管する方法を紹介します。他にもっと良い方法がある方はコメントに残していただけると幸いです。

本頁の結論

パスワードは保管場所と記載方法を工夫すると楽に管理できる
保管場所は個人のスマホのデータとしてパスワードを保管する
パスワードの記載方法の工夫は、どこで使うかの情報を絶対に書かない

パスワードの保管方法

安全なパスワードは作ったが、さてどこに保管するか…。Excelファイルに安全なパスワードを記載して、安全のためそのExcelファイルにパスワードをかけるとします。 Officeをお持ちでない場合にはテキストファイルに安全なパスワードを記載して、パスワード付きZIPファイルで保管します。よくある光景だと思います。

でもここで気になることが出てきます。

疑問

パスワードを保管するExcelファイルやZIPファイルに設定するパスワードはどこに保管すればよいの？？？

いつまで経っても最後のパスワードの保管方法が決まりません。入れ子のような構造になって、いつまで経っても解決しません。

ではパスワードをどこに保管するのが良いのでしょうか？　実は全く関係が無い場所に保管すると安全に管理ができることに気づきました。

具体的にはどこになると思いますか？　私は個人持ちのスマホにデータとして保管するのが最善だと考えます。理由については次項から説明します。

解決策

パスワードは個人持ちのスマホのデータとして保管する

安全な保管場所は個人のスマホ

一番安全な場所は個人のスマホの中に記載します。使う本人だけが分かればどこでも良いのです。ただし条件があります。パスワードだけを記載して保管してください。どの「Webサイトで使う」とか「IDは〇〇」とかパスワードを使う場所が特定できる情報を書いてはダメです。

ではなぜ個人のスマホが重要なパスワードを保管するために適していると判断したのでしょうか？　現在個人のスマホは財布と変わりない域にまで機能が拡張されていますので、皆さん自分で厳重に管理しているはずです。そのため、大事なスマホを無くすことはありえません。私は万一失くしたら必死に見つかるまで探します。

記載場所はデータとして保管するならどこでも良いのですが、メモ帳などにパスワードの文字列を記載しておきます。実は「パスワード」と書いてなければ、それを見た他の人は何のための文字かは分からないのです。もし文字列がパスワードと分かったとしても、何のパスワードかどこで使うかがわからなければ結局使うことはできません。しかも関連するIDやユーザー名が無いため、どこのパスワードか探し当てるのは難しいと思います。

ポイント

個人持ちのスマホは厳重に管理するから安全なため、パスワードの保管場所には最適
使う場所を特定できる情報は併記しない

これですべて解決するでしょうか？　そうとは言えないです。もう一つ心配事があります。

疑問

パスワードがそのまま見られるのはやはり心配。他人から見てパスワードとわからないように、でも自分が見るとすぐにわかる保管方法は無いか？

判らないように記録するコツ

他人から見てわからないようにするには、独自のルールを決めればよいのです。使いやすいのは次の2つの方式です。

逆順で書く

横書きのパスワードの文字列は通常左側から認識します。これをあえて逆順にして、右側から書きます。または後ろの文字から書いていきます。良くないパスワードの例ですが、パスワードを「Password1234」とすると下のように書きます。

この文字を他人が見て、仮にパスワードだとわかったとしても、常識的に考えて左から入力するはずですので、そのためパスワードがバレることはありません。ちょっと例が悪いので上の例だと右側から書いているとわかってしまいますが、安全なパスワードであれば、後ろから書いているとは気づきません。

ただし、悟られないように注意してください。悟られるならば次の手も併せて使ってください。

先頭にダミー文字列を入れる

パスワードを逆順にするだけでは不安だという人には、先頭にダミー文字を入れましょう。

1文字でも2文字でも何文字でも本人が理解できれば大丈夫です。自分はダミー文字列を外してパスワードを入力すればOKです。何文字ダミーを入れるかも本人次第です。自分のパスワードなので先頭に何文字ダミーがあるかは一目でわかるはずです。

他人がその文字列をパスワードとして見ると必ず1文字目から入力をします。何文字ダミーかの情報も入れないのでわかりません。この情報も悟られてはいけません。自分だけの秘密の規則（以後「マイルール」と言います）として忘れないようにしてください。

例えば先ほどの例と同じようにパスワードを「Password1234」とするとダミー文字を2文字「1@」を入れてみます。

いかがでしょうか。左側はダミーの最初の2文字を付与したものがそのままパスワードと誤認しても仕方ないですよね。本人は区切り文字を特殊文字にすると間違いないと思います。

さらに後ろにもダミーを入れてみます。特殊文字であればダミーを含めてパスワードと誤認する確率はかなり高まります。

^と$の間の文字列が本当のパスワードです。正規表現で^は始まりを、$は最後を示すマイルールとすることで、本人は識別できますが、他人は識別できないメモとなります。

いろいろ応用は効きますので、試してみて使いやすいマイルールを見つけてください。

ハズレを入れておく

パスワードに使わない文字列を本当のパスワードの前後に入れておきます。ハズレが多いほど良いです。具体的には次のように書きます。

21dorwssaP
1@Password1234
St.^Password1234$enD

３行上のような文字列を書いておき、例えば上の3項の^と$の間が本当のパスワードというマイルールにしておくと1項と2項はハズレになります。正しいパスワードが漏れるリスクを下げられます。

安全なパスワードの簡単な作り方

使い捨てにも使える複雑で安全なパスワードの作り方はノートンのブログに紹介されていました。パスワード自動生成ツールを使いましょうという結論ですが、少し工夫してみます。

先ほどのPassword1234という文字列ですが、特殊文字が無いだけで、大文字小文字数字と入っています。ただ辞書に登録してある文字が入っているため破られやすいです。

ここで覚えやすく、他人から見てわからないようにするため、次の変換を使います。

a → @
s → $
o → 0
1 →l(小文字のL)またはI(大文字のi)
小文字を小文字を変えたり、文字列の位置を変更したりして気息性を無くす
アンダースコア(_)やハイフン(-)を途中に追加

具体的にPassword1234を変えてみると下のようになり、強力なパスワードになりました。文字の位置までは変えていませんので、もう少し強化できます。

まとめ

パスワードは絶対に紙に書いたりしてはダメということはありません。そもそも「パスワードを管理すること」が目的ではありません。「パスワードがバレて使われる状況にならないようにすること」が目的です。

本頁の結論

パスワードは保管場所と記載方法を工夫すると楽に管理できる
保管場所は個人のスマホのデータとしてパスワードを保管する
パスワードの記載方法の工夫は、どこで使うかの情報を絶対に書かない

パスワードの管理はもっと楽になるはずです。上手く機器を使って安全にパスワードを管理していけると幸いです。

常時SSL化ってなぜ必要なの？

by sitemaster

2018年からChromeでSSL化されていないWebサイトは警告が表示されるようになりました。SSL化のことは知っていても、なぜ常時SSL化が必要となったかまでわからないことが多いと思います。

ここではSEを生業として見た常時SSL化の必要性と、SSLがあるとどこまでできるかを考えてみたいと思います。併せて簡単ですが、常時SSLが必要となった背景とインターネットの危険性について紹介したいと思います。

SSLで実現できること

WebサイトがSSL化していると次の3点が可能となります。

第三者からWebサイトの正当性を証明できる。
通信内容を他の端末でわからないように暗号化できる
通信内容を途中で書き換えられたことを検知できる

3つ挙げていますが、常時SSL化が取り上げられた理由は1のWebサイトの正当性を証明できるがすべてです。このWebサイトの正当性を証明する証明書のことを「サーバ証明書」「SSLサーバ証明書」単に「証明書」と言います。

なぜWebサイトの正当性を証明する必要があるのか？　これはフィッシングサイトを撲滅するためです。今まではWebサイトの正当性を証明できなかったから、フィッシングサイトから金目の情報を取ることができていました。でも、常時SSL化することにより正当なWebサイトかどうか常に確認することができるようになったのです。

Webサイトの正当性を証明する方法

このWebサイトをChromeでアクセスすると下の図の①付近のように鍵マークが付きます。鍵マークをクリック（①）して証明書のパスを見ていく（②③）と、④のようにサーバ証明書が上から繋がっているのがわかります。

上の図の④のように証明書が繋がっていることが大事で、一番下の証明書がこのWebサイトを証明する身分証明書です。身近なものでいうと運転免許証やマイナンバーカードにあたります。

運転免許証やマイナンバーカードは、それぞれ公安委員会や市区町村長が発行元でお墨付きを与えます。同じようにWebサイトの証明書もお墨付きをもらいます。お墨付きを与えるのが一番上にある証明書でルート証明書と呼ばれます。この繋がったSSL証明書は証明書のチェーン(鎖)と言います。

サーバ証明書がどこから発行され、ブラウザまで受け取る流れを下の図に示します。私たちが、Webサイトを閲覧する前にWebサーバの管理者が認証局からサーバ証明書を発行してWebサイトを開設しておきます（下図左上）。Webサイトができあがったら、①ブラウザを使ってWebサイトにアクセスすると、②Webサーバから証明書を受け取り、③証明書の内容を確認します。

すべてが正常な場合は警告無く接続ができます。

証明書に問題がある時の確認ポイント

今度は証明書に問題がある場合の表示例を見ていきます。問題がある点は、今まで説明したものを満たしていない場合で、次の3点です。

証明書のWebサイト名が違っている
証明書のチェーンが繋がっていない
有効期限が切れている

例えば、自宅にあるNASの管理Webサイトは下のようになります。①のURLでエラーが出ています。クリックして証明書を確認します。②無効となっている証明書をクリックすると証明書の全般画面が出ます。③証明書のパスを見てみると、証明書チェーンが無いことがわかります。

常時SSLが無いとこのようなチェック機能は全く働かないので、フィッシングサイトを回避するためにWebサイトの安全性を確認するには良い対策だと思います。なお、このサイトは私自身が設置したNASで192.168.0.210のIPアドレスも割り当てていますので、間違いないことは把握済みです。

常時SSLに関する疑問

常時SSL化していないWebサイトは大丈夫か？

そのWebサイトにIDやパスワード、個人情報などを提供する必要が無いなら問題は無いです。SSL化するにはそれなりの費用と準備が必要となりますので、準備中の可能性もあります。

常時SSL化していれば安全か？

ブラウザで警告が出ると「フィッシングサイトかも」と疑いを持つことになりますが、最後は使う人次第です。使う人が情報を渡してしまうとせっかくの警告も意味がありません。

警告が出たら納得できるまで確認して、警告が出るようなWebサイトに情報を入力しない方が安全です。事情があって警告が出ていることを理解しているならば大丈夫だと思いますが、ほとんどの人はWebサイトの運用にかかわらないため、その状況はあまりないと思います。

名前が違っていても警告が出ない場合がある

この場合はワイルドカード証明書と言います。例えば、web01.singomemo.comやweb02.singomemo.com、site.singomemo.comの3つの　Webサイトがある場合に3つの証明書を用意するより、1つの証明書で3Webサイト分用意するのが楽という考え方です。この場合ワイルドカード証明書のWebサイト名は「*.singomemo.com」となります。アスタリスク「*」がweb01,web02,siteに適合するように考えてあります。

今は3つのWebサイトで例を出しましたが、10サイト、20サイトとなると1種類でまとめた方が楽というのもわかっていただけると思います。

インターネットの安全性

インターネットは各々のネットワークがつないで出来上がっています。インターネットの中には警察などの取り締まる組織はいません。金銭的犯罪があれば日本の警察は動きますが、海外に犯人が居るとなかなか逮捕できない場合があります。インターネットに国境が無いため、容易にインターネットを経由して入り込むことができるからです。

インターネットは秩序を維持する組織が無いので、自由すぎる点が課題です。そのため犯罪者も入りやすく、金目の情報を渡さないように利用者自身が気を付ける必要があります。

今回のブラウザの警告だけですべての情報漏洩を防ぐことはできません。インターネットは自由で危険と隣り合わせである認識を持って注意して利用すると便利に使うことができるはずです。

ブラウザの対策だけで安心か？

ブラウザはフィッシングサイトの警告を出すようになりましたが、そもそもパソコンやタブレット、スマートフォンにウィルスが入り込むと情報は簡単に漏洩します。

実際に警視庁が公開しているデータを見ると毎年標的型メール攻撃の件数が増えています。標的型メール攻撃は、特定の会社や個人を標的としてウィルス感染やフィッシングサイトへ誘導するためのメールによる攻撃のことを言います。

標的型メール攻撃は日々進歩しており、だれしもが引っかかるあ脳性があります。基本的にメールは疑ってかかるのが正しい対処方法です。お互いに注意しましょう。

HDDに保管した個人情報の確実な廃棄について

by sitemaster

SEやってると気になる点が一般の人とちょっと違うと思いますが、個人情報の廃棄について気になる記事が2つありましたので、情報の取り扱いを考えてみたいと思います。

「桜を見る会」菅氏の鉄壁答弁崩れ、危機管理に綻び（外部サイト）

ＨＤＤ「簡単で毎日のように盗んだ」容疑者、早朝狙いか（外部サイト）

上記2つのサイトでは情報管理の徹底と不備があります。「桜を見る会」では「情報管理を徹底しており、バックアップは完全消去しています」と宣言しています。一方HDD盗難では、記録した情報の完全消去は難しいと言われてます。これ矛盾してそうに見えます。

一番確実な情報の消去

わかりやすくて確実は方法は記録媒体の物理的廃棄です。わかりやすく言うと記録面を折り曲げたり、傷を付けて使えないようにします。HDDは記録面に穴を開け、SSDの場合はフラッシュメモリに穴をあけてしまうのが簡単です。

ただ、専用の機械が必要なのと一つずつ破壊していくため、全部のHDDやSSDを破壊するのは結構な重労働です。情報廃棄時には証明のため報告書も必要ですので、写真を付けて報告書を作ることもします。具体的には動画がありましたので、参考までにリンクを掲載します。

サーバ等ならHDD多数使いますので、面倒なものです。ただ機械的に読み取る動作ができないので、一目で目的を果たせることはわかります。

ただ、やったことありますけど本当に面倒です…。お金があるなら委託した方が楽です。

HDD再利用するためのデータ完全消去方法とその確認方法

データ消去専用のソフトウェアを利用する方法があります。

EaseUS Partition Master （外部サイト）※無償版あり
ディスク消去ユーティリティ（外部サイト） ※フリーソフト

探せばいろいろなデータ消去ツールがあるのですが、問題は削除したデータを復元できないことを確実に確認する方法は何かです。復元できないことを確認するには当然消去したソフトと別なソフトウェアで確認します。

DiskDigger　（外部サイト）※フリーソフト、日本語対応
Recuva（外部サイト）※無料版あり

2つのツールともに日本語化されているので、使いやすいです。試しにデータをフォーマット（クイックでは無い）して復元してみましたが、復元できました。

データ消去専用ソフトウェアを使ってデータを消去すると2つのツールともに復元できなかったので、完全に消去できているようです。

でも、どうやって完全にデータを消去したかを証明する方法が無いですね。データを確実に消去したことを証明しやすいのはやはり物理破壊です。といっても個人で使うには使いやすいです。

「桜の会」の出席者名簿について

本当に完全消去できたなら、正直どうやったのかを知りたいです。バックアップとかどこかに残ってそうなのに。

いろいろ調べれば出てきそうな気がしますが、真実の究明は関係者にお任せします。