Scribble at 2023-09-23 22:14:57 Last modified: 2023-09-23 23:51:24
インターネット接続の通信環境をベースにした、色々なサービスとか色々な事例が漫然と並べられているだけで、何が言いたいのか殆ど分からないルポのようなものだ。われわれのような情報セキュリティのプロでなくとも一読はお勧めしないが、そういうルポのようなものを暇潰しに読んで「ああ、やっぱりインターネットは下らない」と溜飲を下げたい人もいるだろうから、ひとまずリンクだけはしておこう。
さて、本書は末尾に「付録 パスワード管理法」という2ページたらずの文章が掲載されている。やや長くなるが、上に引用してある。そして、この事例は僕が当サイトで公開している、
「パスワードに『コア』となる文字列を設定する管理策について」(https://www.markupdancing.net/archive/20160804.html)
という論説で批評しているパスワードの生成・運用方法とまったく同じであるように思える。そして、ここでも同じ理由で著者が推奨する「管理法」は不適切だと言える。
こういうパスワードの共通部分(コア)を設定して、その文字列だけを別に記憶しておくというのは、記録せずに自分で記憶するだけに留めるから安全だというのが、こういう管理手法を勧める人々の議論である。しかし、記憶しなくてはいけないからには、そして自分自身で忘れたり間違っては元も子もないので、実際にこんなやりかたでコアをつくると、だいたいにおいてコアは簡単な文字列になってしまうだろう。たとえば、"DH86e5iDFoJLQkqPeUmdSkA7" をコアとして記憶しておこうとする人はいないと思う。記憶するなら、せいぜい10文字以下だったり、あるいは生年月日のように推定されやすい文字列を避けるとしても、単純な文字列、"gundam" とか "kusoga" とか "zakennayo" とか、そういうものになるであろう。すると、そのコアを brute force なり当てずっぽうなりで攻撃する方が寧ろ簡単に解析できるという可能性が残る。そして、SPOF (single point of failure) の原則から言って、共通のコアを突破されると、コアを共有している全てのパスワードが突破されてしまう。
僕は、現実的な管理方法としては社内でも「メモ帳に書いて保管するのが最もよい」と言っているし、1password のようなクラウド・サービスは論外だと強く言っている。持ち歩くわけでもなければ、パスワードなんてメモ帳に書いておくのがいちばん安全だし強いのだ。家が火事になってメモ帳が焼けてしまう心配をするくらいなら、クラウド・サービスに登録したパスワードが漏洩するリスクの方を心配するべきなのである。子供や妻にメモ帳を見られると困る(たとえば出会い系サイトのパスワードとか、えげつないエロ・サイトのアカウント情報とかをひた隠しにしてる人々もいるだろう)人は、家族に見られないようにもっと苦労すればよいのである。情報セキュリティのプロにとって、そんな与件など知ったことではないわ。メモ帳を耐火金庫にでも入れておけ。