17

January February March April May June July August September October November December
2009(Wed) 06/17

No1000記事はパスワード管理とその意味に関する記事(LV105)(70)

海賊(拳) … Comments(70)

 

 さて祝、記事No1000記事ということで、何を書こうかと思ったんですが、特に1000記事と言って大々的にやることもないので(イベントは7月予定だしね)、今回は皆さんのためにパスワードに関する記事を書きたいと思います。

 ゲームのパスワード公開され損害…少年を提訴(メイプル)

 gewgeghtewhrwthwtrhrwhtr.jpg


 というのもこんなコメントが匿名で多数届いているので。パスワードに関する話ですね。

 
 
e5834036.gifはじめまして。財前さんに相談なんですがこの間、久しぶりにメイプルにINしようとした所パスワードを忘れてしまってINできなくなりました。自分がつけたパスワードなので思いつきそうなのは試したのですがだめでした・・・ネクソンにメールで問い合わせたところ


「誠に申し訳ありませんが、メイプルIDのパスワードをお忘れになられた場合の調査、確認といったサポートはいたしかねます。ご理解のうえ、ご了承の程よろしくお願いいたします。
パスワードをはじめとする各種個人情報は、必ず、お客様個人の自己責任のもと、厳重な管理をなさいますようお願いいたします。」


そのIDの中には4次職3体そのうちメインの152Lv斬り賊がありました。忘れてしまったのはこちらが悪いとおもいますが何とか調査してもらいたいです。なにか良い解決策、対応方法などありましたらお願いします。パスワードが分からなければこのまま引退です(T_T)


331be66e.gifパスワードを抜かれました。誰にも教えてないはずですし、誰も僕のパソコンは使ってないはずです。ウィルスか何かでしょうか? 助けてください。




 何の防備もなく、ID、パスワードを完全に忘れてしまうと…この案件に対する有効な手立てはありません。


 サポートが必要な方はこちらへ(メールアドレス紛失、メールが受け取れない方)
 メールの件名:【メール認証解除依頼】
  メール本文へ以下を記載してください
  ・サポートが必要とされるNEXON ID
  ・氏名
  ・電話番号
  ・生年月日
  ・性別
  ・登録済みメールアドレス
   メール送信先アドレス:mailreact@nexon.co.jp

本件に関すること以外、ならびにゲームのお問い合わせは、こちらのサポートへ。

【NEXONサポート】
URL:http://www.nexon.co.jp/JP/Content/Support/Support.aspx



 とりあえずサポートに問合せてみましょう。

 返ってくる確率は五分五分です。


 …


 さて


 とりあえず2つの事例を紹介しましたが、なぜかパスワードに関することなどを私に聞いてくる方が多いです。なんとかしてあげたいとは思うのですが、そのコメントがある度に記事にパスワードに関する記述を入れるわけにも行かず…困ってたんですが、今日はそれを書きたいと思います。

 要はパスワードの管理方法ですね。


 簡単に定型文を書くとこれが基本

 
・パスワード、ID等の個人情報は他人に絶対公開しない
 これが原因でパスワードを抜かれることが圧倒的に多い。絶対に他人には公開しないように。

 ・推測されにくいパスワード、IDにする
 これも原因として高い。パスワード、IDには数字と推測されにくい英数を組み合わせなければ簡単に抜かれる可能性がが高い。なぜならハッカーが用いるパスワード総当りソフトはまずは世にある単語でアタックを始めるから。ゆえに決してキャラ名や誕生日、実名、名詞などは入れないこと。



 正直言いますとこの2つをするだけで8割以上のパス抜きは防げます。この2つを守らないで「なぜかパス抜かれた」「ウィルスで抜かれた!!」「内緒で抜かれた!!」などと騒ぐ人が圧倒的に多い。

 rthrwthtrwhwtrhwrtgwerterwqerwter.jpg


 自分が覚えやすいパスワードは逆に言うと他人も覚えやすいわけでね…抜かれて当然だと言えます。万全を期すならば、キーロガーチェック、スパイウェア対策、クッキー無効などもするといいですが、この辺は難しいのでまあやらなくても大丈夫でしょう。

 次に多いのがパスワード自体を忘れてしまう事。複雑な英数字にすればパスワードは抜かれにくいですが、当然それは自分も覚えにくいわけで…ついうっかり忘れてしまうこともある。

 ちなみにパスワードを抜く人が第三者でいた場合、どういう手順を踏むかというと



 
悪意を持った攻撃者たちは、パスワードの推測を行う際にさまざまなパスワード推測アルゴリズムを用いる。中でも一般的には、3つの段階に分けて推測が行われることが多い。

 彼らが最初に試すのは、その人の情報から類推されるパスワードだ。つまりユーザーの名前、生年月日、社員番号、好きな物の名前など、その人に関する情報や趣味、嗜好などから類推しやすいものが試される。

 そして次に、辞書アタックと呼ばれる推測が行われる。この段階では、あらかじめ用意された単語リストに載っているパスワードが試される。この単語リストには、辞書に掲載されている単語や一般にパスワードとして使われやすいワードなどが載っている。

 zu02.jpg


 ここまでの推測で見つからなかった場合、最後の手段として、ブルートフォースアタック(総当り攻撃)と呼ばれる推測手段が取られる。この段階では、パスワードとなりうる文字の組み合わせがすべて試される。

 この結果、ユーザー情報から類推されるパスワードや辞書に載っているような単語を使ったパスワードを用いていると、わずか数秒から数分でそのパスワードが推測されてしまう。一般に「ユーザーの名前や誕生日、辞書に載っている単語などをそのままパスワードに使ってはいけない」と言われているが、そのとおり、これらはやはり絶対に使ってはならない非常に弱いパスワードなのだ。

 zu03.jpg

 ちなみに英小文字のみなら10文字のパスワードでも数十日で解析が終わります。

 しかし英数大小文字16文字なら解析に100万年はかかる。専用機器で数十倍のスピードでクラック可能だが、少し桁を増やすだけで全然違ってくるのである。

 そしてこのケースはZIPのパスワードを解析しているケース。つまり反応がすぐ返ってくるから可能な数字。今や2次パスワードまであるメイプルやオンラインサービスなどはこれだけ早くクラックを行えないので実際のパス抜きの場合にはもっと多大な時間がかかる事を敢えて書いておく。


 ①ソース  IT Media
 ②参考URL パスワードクラックにかかる時間  
 http://gigazine.jp/img/2006/04/08/password/diagram.png





 というわけです。やはりこういう知識はもっておかなければなりません。パスワードがまさか俺の好きな食べ物とは誰もわからないだろう。とか、俺の好きな子の名前とは思わないだろう。なんて思っても辞書アタックで世の中にある用語は超高速でアタックされるのでほぼ無意味なんですね。

 それゆえの想定しにくい文字列とできるだけ長い桁数なんです。

 では一体具体的にどうすればいいのか。

 難解なパスワードでかつ忘れないパスワード。これをどう管理すればいいというのか。

 それらをある程度解決する方法を一応ながら私なりに書いてみますね。











 
 ①まずはパスワードを作れ

 まずはパスワードを作成します。自分で作ってもいいですが、つい軟弱なパスワードにしてしまう気もするので、ここはパスワード作成サイトに頼りましょう。こちらに行って作ればOKです。

 パスワード作成サイト

 クリック1個でいくつもの難解なパスワードを作成してくれます。

 ertgretretertew4twtertrqet.jpg

 まあこのパスワードならまず抜かれることはないでしょう。これで全部のサイトのパスワードにしてもいいくらいです。ただ、さらに万全を期す場合は一番後ろのパスワードの文字を

 YAHOOならY
 GOOGOLEならG
 MAPLEならM

 という風に変えておけば、もし一つがバレたとしても芋づる式に全部バレルことはないし、忘れることもありません。

 最初はパスワードを打つのが大変でしょうが、様々なサービスで何回も打っていると手が覚えますから大丈夫です。



 ②忘れないように暗号化メモ帳に保存しろ

 難解なパスワードとIDは抜かれにくいですが数年間使わなければまず忘れます。でも紙に書いて保管したり、付箋に書いてPCに貼るなどはもってのほか。どこかに書くのもやめておいた方がいい。誰にも見られない場所。自分しか見れない場所に保管するのが吉です。

 この時に活躍するのが暗号化メモ帳です。

 要はwindousのメモ帳にすべてのサービスのパスワードとIDを書いておいて、PC内に保管しておけばいいのです。このメモ帳は文字列が暗号化される上に、パスワードを打たないと開かない仕組みなのでまず安全かと思います。

 メイプルストーリーにINするときはその暗号化メモ帳を開いて、パスワードをコピーアンドペーストしてINすればいい。

 キーボードの ctrl + v を押せば貼り付けられます。


 やり方は簡単。まずは暗号化メモ帳をダウンロード。
 ダウンロードページ http://www.vector.co.jp/soft/dl/win95/util/se476447.html


 圧縮ファイルなので解凍ソフトがないと開きませんよ。

 ソフトが起動しない、解凍もできないって方はこちらのソフトをどうぞ。
 http://www.vector.co.jp/soft/win95/util/se280871.html

 これなら大丈夫はずです。ソフトのコンセプトは暗号化とパスワードで同じですから大丈夫かと。


そしたら次は

 暗号化メモ帳を起動させます。SecureMemorandumって書いてあるアイコンですね。

 dsfgetgewygetgtweyhrthtr.jpg

 これを押せば暗号化メモ帳が起動します。パスワード暗号化機能以外はウィンドウズ付属のメモ帳と機能はほとんど変わらないので使い方は大丈夫なはず。

 要はそこにインターネットで使うサービスのすべてのIDとパスワードを書いていくだけです。メールとかゲームとか「にこにこ動画」とか音楽サイトとか色々あるでしょう?IDとパスワードを要求されるサイト。

 だから暗号化メモ帳に残しておく。忘れないように残しておくのです。

 padsjpaiogjerpagjrpogjreapg.jpg

 あ。メモ帳の文字列は詳しく読まないように。読んじゃダメよ☆

 …

 こうやって将来忘れたときのために残しておくのが重要なわけです。「え。そんなのこのファイルが開けられたら全部バレルじゃん」って思うかもしれませんが、ファイルの文字列は暗号化されてる上、パスワードが設定されているので自分で忘れるリスクやキーロガー、ウィルスにやられるリスクから考えるとかなり安全度は高いはずです。特に検索でもひっかからないので普通のメモ帳に残しておくよりも激しく強固です。

 そもそもこの暗号化メモ帳で作ったファイルはダブルクリックで開けようとしても

rrhrfhrwthw4ryhrtwhwtrhtrw.jpg

 このような画面が出てパスワードすら打てません。

 つまり普通の人にはパスワードを打つ段階にすら辿りつけない。メモ帳ソフトをうまく隠しておいたりしたらさらに開くのは不可能でしょうね。

 
 じゃあ自分はどう開くのか? っていうと

 開き方は簡単。SecureMemorandumを起動してその白いメモ帳内にパスワードファイルをドロップするだけ。

 dfgfghdrhtrshrsthrsthtrsh.jpg

 するとパスワードを要求されるので打てばいいのです。もちろんこの開くパスワードを忘れてしまうとすべてがパー。だからまあ…このファイルを開くパスワードに関しては忘れにくい簡単なパスワードにしておくにもアリかもしれませんね。

 ですのでこのソフトを開けるパスワードは想定しやすい文字列でOKだと思います。

 自分のブログ名とかね。

 それでも安心できないならこのソフトのパスワードを自分のメールに送信しておくといいですね。そうする事で忘れたときの対処法にもなります。


 ちなみに、もし仮に悪い友達や家族がこのファイルの開き方を知っていて上記のやり方を実行した場合、パスワードを打つところまではいけるかもしれませんが…

 実はこのソフト。

 間違えたパスワードが打たれると、このように無茶苦茶な文字列を返す仕様となっており

 dfgetghtrhrthrshrsh.jpg

 表向きにはそのパスワードが合ってるのやら間違ってるのやらわからない仕様になってます。だからファイル名も「古代の呪文」とかにしておけば怪しまれることもなく諦めてくれるでしょう。

 普通の人には開けない上に怪しまれないというところがミソなのです。

 でも何度も言いますが、このソフトを使う意味というのは、あくまでも難解なパスワードがあってこそ出てきます。誕生日と数字を足したような安易なパスワードの場合、こんな事しても意味がありません。

 その前に突破されるので…。

 パスワード管理に困ってる人は是非試してみては如何でしょうか。


 
 あ~面倒だ。こんなの面倒。もっと簡単な方法ないの?って方はこっちを試してみると如何でしょうか。

 
ユニークなパスワードを生成する方法の1つに、ベースとなるパスワードを選び、対象となるサービスの一部を使って変形させていく方法がある。例えば、

「ベースパスワード+サービス名の最初の子音2つ+サービス名の最初の母音2つ」
 
 というルールでやってみよう。ベースパスワードが仮に「asdf」だとする(キー入力が簡単なので便宜的に)。ここから上記のルールでパスワードを作ると、Yahooなら「ASDFYHAO」、eBayなら「ASDFBYEA」だ。



 まあこの方法でも忘れるのもある程度回避できますし、結構難しいパスワードも作ることができるかもしれませんね。しかしやはり難解なパスワードと暗号化メモ帳で管理した方が圧倒的に安全性が高いのは言うまでもありません。

 メイプルストーリーも今や課金インフレが進行し、パスワードを抜かれたり、忘れたりしたらシャレにならない状況に陥っています。かけた莫大な時間がちょっとしたパスワード管理の甘えから水の泡と消える。

 rghthgtwehtrwhwtrhrtwyhwtywt.jpg


 それを思えばこれくらいのことは容易いことだと思います。


 それにネクソン自体がハックされてIDとPASSが流出する可能性もあるし、他サービスから個人情報が流出する可能性だってあります。注*これは実際に起きた「http://ninehalt.blog4.fc2.com/blog-entry-1284.html


 今大丈夫だと思っても…後で泣くハメになるのは?



 他ならぬあなたなのです!!








 はい。

 ちなみにですね。パスワードに関してはPC自体のセキュリティも重要です。例えばキーロガー(キーボードの入力情報を盗む)を仕込まれると難解なパスワードであってしてもキーボードで打てばバレバレになってしまうので、このようにメモ帳からコピーペーストで貼りつけてINする方法はかなり有効です。セキュリティソフトが入っていないなら無料のこちらAntivirを入れておきましょう。

 でもいちいち暗号化メモ帳を開いてペーストするのも面倒なところもあるので、そこはクリップボードに保存した内容を100件くらい記憶しておいてくれるCLCLを使うとよろしいでしょう。

 CLCL http://www.nakka.com/soft/clcl/

 このソフトはPCにコピーした文字列を何件も保存しておいてくれるソフトなので、メイプルストーリーを起動する前にその中からパスワードだけを引っ張ってきてメイプルに貼り付ければ終了です。

 多少セキュリティは甘くなるけど…まあ大丈夫でしょう。



 最後にパスワードを忘れてしまって、どこにもそのメモもない場合の対処法ですが、これはさすがに手の打ちようがないですね…。運営に聞いて反応がなければもう絶望的かと思います。身分証明ができればいいんでしょうが、メイプルの場合ID管理が甘いこともあってちょっと無理でしょうね。

 この辺はクレジットカードの登録などで遊んでる月額課金ゲームならまた状況も違うんでしょうけど、都度課金ゲームは…ね。本人確認のしようがない。メイプルIDに住所とか電話番号とかそういうのをちゃんと入れてあればもしかすると…本人とみなしてくれるかもですけどね。

 でも住所と電話番号と本名くらいは友達なら普通に知ってますからねえ。これはこれで本人の身分証明とも言えない(笑)。やはり難しい…かもしれません。
 
 ちなみに…

 これみてパス抜きしようとは思わないように。パス抜きは完璧な犯罪なのであしからず。捕まります。






 





          ____
        /::::::::::  u\
       /:::::::::⌒ 三. ⌒\    最近は公式ページに告知文が出るくらい
     /:::::::::: ( ○)三(○)\    
     |::::::::::::::::⌒(__人__)⌒  |   パスワードに関するトラブルが多いみたいなんだお
      \::::::::::   ` ⌒´   ,/    もう危なくて誰も信じられないお






   / ̄ ̄\
 /   _ノ  \
 |    ( ●)(●)  自分の誕生日や好きな物をパスワードにしてるユーザーが
. |     (__人__)    20%近くいるって統計もあるみたいだからな
  |     ` ⌒ノ      
.  ヽ       }           辞書アタックで楽勝で抜かれるだろ
   ヽ     ノ        \    常識的に考えて
   /    く  \        \
   |     \   \  旦~    .\  
    |    |ヽ、二⌒)、          \

   




      ____
     /      \
   /  _ノ  ヽ、_  \  でも難しいパスワードだと覚えられないんだお
  /  o゚⌒   ⌒゚o  \   脳で覚えてないとネカフェからINできないから不便だお
  |     (__人__)    |   なんかいい方法教えてくれお
  \     ` ⌒´     /





 


   / ̄ ̄\
 /   _ノ  \
 |    ( ●)(●)  だから被害が後を絶たないんだろうが
. |     (__人__)    じゃあ誕生日と名前を組み合わせろよ
  |     ` ⌒ノ      やる夫(yaruo)と誕生日(0528)を交互に組み合わせて
.  ヽ       }         
   ヽ     ノ        \   y0a5r2u8o
   /    く  \        \   これでいいんじゃね?
   |     \   \  旦~    .\  
    |    |ヽ、二⌒)、          \




 

 
       ____
     /⌒  ⌒\
   /( ●)  (●)\   素晴らしいパスワードだお
  /::::::⌒(__人__)⌒::::: \   これなら忘れることもないしバレルもこともないお 
  |     |r┬-|     |     これで安心して… 
  \      `ー'´     /      




 

               ∩_
              〈〈〈 ヽ
      ____   〈⊃  }
     /⌒  ⌒\   |   |  誰か僕がテスト期間中LVあげてくれる人募集だお~
   /( ●)  (●)\  !   !  
  / :::::⌒(__人__)⌒:::::\|   l  
  |     |r┬-|       |  /   IDとパス教えるから
  \     ` ー'´     //     来週までにLv120にしておいてくれないかお~
  / __        /        1000円払うお~
  (___)      /










       / ̄ ̄\
     /ノ( _ノ  \   おまえ結局何にもわかってねえよ!!
     | ⌒(( ●)(●)   
.     |     (__人__)   
.     |     ` ⌒´ノ                            _______
      |         }                     ─=≡三 /\          \  -=≡三\
      ヽ        }                  ─=≡三 /  \_____\\   `ヾ|
       ヽ     ノ                  ─=≡三 /    /        / /   ̄ ̄ ̄
.     / ̄ ̄ |\/」` ̄ ̄\             ─=≡三 /    /_____/ /
.  、○ / ̄/  ̄。|   | ̄\/)             ─=≡三 /    /        / /
         |   。|  |                 ─=≡三 /    /_____/ /
         |.   。|  」___       _         ─=≡三 \  /        / /
       ,. |     。|    _\   / |         ─=≡三 \/        / /
   〃|/ . |      /´   ̄`ー-〈 _ノ                      ̄ ̄ ̄ ̄ ̄ ̄
 〃I// 丿     /´ _/ ̄`ー─'
. ||//.  ヽ__,,ノ ̄
// .     | .  /
/        〉  〉
         /_ /
       L;二フ














 意外なところで足元がお留守になってませんか?

















関連記事








Edit Comments(70) trackBack(0) |