PCのパスワードのネタ切れを防ぐ試み
俺の職場のPCには、以下の3種類のパスワードが必要で:
これを3ヶ月毎に(年4回)更新する社内ルールになっている。ということは、3種類×4回=年12回。つまり均すと月イチでパスワードを変えてる計算になる。
ネタ切れになっちゃうんだよ、これがさぁ。
一回使ったネタは「これは以前使ってるからダメです」ってはじかれちゃうし。呑み屋でリーマンの常連さんに「もぉどうしようもないんすよ」と愚痴ったら「ウチもそんなもんだよ。ってか、今イントラで業務こなしてる企業なら、どこでもそんなもんじゃないの」と軽くいなされてしまった。
しかし...確かにセキュリティは重要だろうが、ある企業の全社員がPCのパスワードで煮詰まっている時間を集計したら、人月にしてどれだけのコストになるのだろう。考えるだに恐ろしい。このブログの読者のかたで、会社員やってる皆様は、どうやって対処しているのだろう。
MSは、ご親切(または大きなお世話)にも「強力なパスワード」の造り方のページを用意している:
Microsoft - 強力なパスワード : その作り方と使い方
https://www.microsoft.com/japan/athome/security/privacy/password.mspx
めんどくせぇよ。んなことやってられっかよ。
この「パスワードを考える手間と面倒」と「ある程度安全なパスワードをネタ切れせずに作れる法則」の、折り合いをつける方法はないだろうか。
例えば。
こういうパスワードの生成方法がある:
- 1qazxsw2
- zaq12wsx
- 2wsxzaq1
- xsw21qaz
これは何てことない、キーボードをこういう風に“上り下り”しているだけだ。SEの人なんかが、システムのテスト中に仮パスワードやダミーのパスワードを取得する際によく使われる手だ。
だがこれだけで、いちおう4種類のパスワードが得られる。大文字・小文字を区別するシステムなら、大文字を使えば倍の8種類になる。
これを、押すキーを1つずつズラしていって、以下のような“キーボードを上り下りする”キーのセットを使えば:
- 2⇔xc⇔3
- 3⇔cv⇔4
- 4⇔vb⇔5
- etc...
けっこうな数のパスワードを取得できる。
ただし、上記のMicrosoftのサイトの説明にもあるように「キーボード上の隣り合った文字の組み合わせでは、安全なパスワードになりません」。
これにもう“ひと手間”加えることで、もう少し“強度”のあるパスワードにすることができる。
これ↓に色々入力して、自分で考えてみ。
Microsoft - パスワードチェッカー
https://www.microsoft.com/japan/athome/security/privacy/password_checker.mspx
ただ「1qazxsw2」と入れるだけでは、「安全度:中」だ。「安全度:強」になるようなひと工夫をいろいろ試すのが吉。
この方式の大きなメリットは、
パスワード更新の際、“始点となるキーをどれにするか”という1項目を決めるだけで、多量のパスワードを生成できる
ということである。文章の頭文字だの子供の名前だのアルファベットのどれを数字に置き換えるだの、毎回毎回いちいちやってたんでは効率が悪すぎる。
パスワードの生成にもコストパフォーマンスが必要なのだ。
いっぽう、大きな欠点というかデメリットもある。それは、ケータイ等、QWERTYキーボードを備えていない機器ではでは入力が非常に面倒になることだ(爆)。例えば、ブログやSNSや各種ポータルサイトのサービス(YahooなんちゃらとかGoogleなんちゃらとか)のパスワードを、PCでこのやり方で設定した場合、ケータイでのログインが異常にやりづらい。そこらへんをどう折り合いつけるかは、各々のライフスタイル(ケータイから頻繁に見たり書き込みをしたりするか:ちなみに俺は殆どしない)次第だろう。
免責:本エントリーは、セキュリティに関して何ら保証や確約をするものではありません。俺の文章を鵜呑みにして何か損害をこうむったとしても、一切責任を取りません。あしからず。