パスワード再考:Gmail乗っ取り騒動を見て

思うこと・雑記

Gmailの乗っ取りが流行っているみたい。
http://togetter.com/li/428959

さて、どうやら対策としては2段階認証なるものがGmailではあるらしい。
結構長い間Gmailを使っているが今まで知らなかったな…
携帯を使って認証を行えるようだ。
詳細はいろいろなエントリーで出回っているからあえて書く必要はないかな

んー、でも安全性が高いのはわかるけど使いにくいよなぁ
softbankとか使ってたら電波はいらないことザラだし(そういう場所でPCでネットつながるかは別として)
まぁ、安全のためには設定しておいたほうがいいだろう。


それとは別にコンピュータの性能がどんどん上がっていくこのごろ、いったいどれくらいセキュリティ高めたらいいのだろうか…
そもそも今回の不正アクセスはどのようにアタックされたのかな。
ブルートフォースで攻めてきたのか(天下のgoogleさんが大量アクセスを見逃すとも思えないけど)、怪しいアプリやサービスで盗まれたのか、他のサービスとID、PASSを共通化してしまったのか…
出来れば今回実被害に合われた方がいれば、出来る範囲で答えていただきたいな…統計とりたい。
項目としては下記のかんじで
・GmailアカウントをWEBなどで公開しているか?
・ID、パスの桁数
・文字種(数字のみ、英字のみ、英数字、英数字記号混在等)
・単語を含んでいるか(angelなんちゃらとか単語を繋げてるだけなのか、完全な文字の羅列なのか)
・同じID,PASSを別サービスでも使っているか?

答えてもらえたらいいな…

僕が考えるそこそこな強度のパスワードといえば
英数字羅列6~10桁にサービス名、ドメイン名を+あたりの文字でくっつけて両サイドも+で挟んだりするとか?
例えばfacebookのパスワードなら基本文字列をabc123としておいて
+abc123+facebook+
みたいな感じで
あとはサービス名まんまじゃさすがにあれだから逆から書いてkoobecafみたいにしたり記号増やしたりすればいいのでは?
これだけで英数字記号17桁のパスワードが基本文字列6桁覚えるだけで使える。更にサービスごとにパスワードが違う。
これがどれほどの強度あるのかはわからないけど、少なくともブルートフォースによるアクセスと他サービスアカウント乗っ取りによる連鎖はある程度防げるかも?
さすがに、サービス名のところで連結してるのわかるから、ひとつバレたらの連鎖は完全には防げないけど…

そこでさらに推測されにくいパスワードを考える。
本当は16桁程度の英数字記号パスワードがいいのだろうが、最低12桁程度で考える。
まず基本文字列を使うところは一緒、今回は8桁にしてみる(abcd1234)→僕の個人的な感想だが英数字の羅列は8桁、頑張って10桁覚えるのが精一杯
次にサービス名、そのままだとわかってしまうのと+でつなげると区切りがまるわかり
そこでサービス名の頭と尻尾だけ使う→facebookならfとk
基本パスワード自体が推測されにくいように2分割にして間を区切り文字で挟むことにする。今回は区切り文字をサービス名から取る。(上記のk)
パスワードの頭と尻尾にもサービス名から取ることにする。(上記のf)
すると次のようになる。
fabcdk1234f
これでぱっと見はサービス名が入っているとは思わないし、ただの記号の羅列に見える。
あとは英数字だけだと弱いから+-なりカッコなりで囲む。(別に基本パス自体に記号含めてもいいし、どこに挿入するかは自由)
+fabcdk1234f-
これで13文字のパスワードが完成する。twitterのパスワードを作成するときは同じように
+tabcdr1234t-
とかになり推測されにくい。
これでどうだろうか?

欠点があるとすれば基本パスワードを区切ってしまうため入力しにくいことだろうか…
ある程度長くても連続して覚えれば空で入力できるが、区切ってしまうとどうしても店舗が崩れる。
まぁ、真ん中にはいれずに頭と尻尾につけるだけでもいいのかな?

たぶん、似たようなこと実践している人もいるだろうが、どうだろうか?
これを機にサービスごとにパスワードを分けてみないだろうか?
パスワードの強度自体も大切だけど、複数のサービス、特にメアドがアカウントになるようなサービスでパスワードを共通化しているのが一番危ないと思う。

まぁ、可能な限り2段階パスワードは設定しておくようにー

コメント

タイトルとURLをコピーしました