2008-09-12

メールアドレスとパスワードを使った認証について思う事

Web屋のネタ帳さんの所にYahooのネタ(俺は悪くないYahooが悪いんだ返金しろ、とか言う人はこれを読んで胸に手を当ててよく考えてね)が上がっていたので前々から思っていた事をメモってみます。
まあ、Clipperzって素晴らしい?でも似たような事は書きましたが…

認証と言えば ID と パスワード を使った認証が多く使われていますが、この ID が曲者なんだと思う。
その昔、セキュリティの事を考えたら ID は特定個人から推測できない物にしなさいと教えられた事があります。
私がパソコン通信とか始めた当時はメールアドレスとメールアカウントの ID は別で、アカウントID はシステムが振った推測されにくい物って事が普通だったように思う。

しかし、ネットが一般に浸透していくに従い、機密性が軽視され、(可用性とは言えない)利便性ばかりが追求されるようになってきたと思う。

ID はユーザがわかりやすい文字列を設定する事が出来るようになり、そのうちメールアドレスを使う事が当たり前になってしまいました。
しかし、認証に ID と パスワード を使うと時に守らなくてはいけないのは パスワード だけでないのです。

ID がわかれば認証の半分を破られたと言う事に等しいのです。
言い切ってしまいましたが、こんな事言ってしまっていいのだろうか ^^;

複数のサイトでメールアドレスなど、共通の ID を使用するのであれば、既に半分破られているのだから、せめて パスワード くらいは違う物を設定すべきでしょう。
でなければ悪意のある者が容易になりすまし出来てしまいます。

使用するサイト全ての認証情報など覚えられないのでパスワードマネージャを使用するのが正解なのでしょう。
このあたりにRoboFormのアフィリエイトを貼ったら儲からないだろうか?

パスワードマネージャを使用してサイト毎に複雑なパスワードを設定した場合、パスワードマネージャがなければサイトにログオンできなくなってしますが、それはそう言うものでしょう。
私の場合は RoboForm2GoTrueCrypt で暗号化したUSBメモリに入れて持ち歩いていました。
過去形なのは職場がMacなので不便になり使わなくなったため
もちろん鍵は覚える事など不可能な長さのランダム文字列。キーファイルを使用してました。
キーファイルは会社と家に保存。出先で使うときにはTrueCryptの暗号化ボリュームとは別に持ち歩くようにしたり、一時的にネット上のストレージサービスに保存したりしていました。
よく使う2〜3カ所くらいなら長めの複雑なパスワードも覚えられますので…

私が悪い事するとしたら、そうですねぇ…
懸賞サイトなど、楽して儲けようとか甘い事考えてる人の個人情報を集めるためにサイト作るでしょうねぇ
当たった賞品を送るためとか、応募するためとか言って住所氏名も集められそうですし^^;
なので懸賞サイトは怖くて登録できない…
被害にあわれた方、他でも同じパスワードで登録していませんか?

0 件のコメント: