2019年11月06日に初出の投稿

Last modified: 2019-11-06

多くのパスワードを記憶することは困難ですが、安全を保つオンラインアカウントへのアクセスを取得するサイバー犯罪者の後始末に比べれば困難ではありません。

パスワードマネージャー | パスワードの失念や紛失から保護します

Symantec が NortonLifeLock という社名で再出発するとかで、サイトを見た。相変わらず雑なキャッチ・フレーズのオンパレードだが、中でもパスワード・マネージャについては機会を見てページを作ろうと思っていたので、まず手始めに幾つか書いておきたい。

まず、パスワードの管理は記録という手立てなしには適正に確立したり続けられない。100のサービスについて、それぞれ異なるランダムな文字列を全て32桁で設定したとして、それらを全て記録することなしに記憶するべきだなどという要求を誰にできるというのか。実際は、少しでリスクを低減する可能性があれば何でもルールとして採用するという愚かな方針によって、例えば90日ごとにパスワードを変更するといったルールを会社や学校で要求してきた結果が、逆に脆弱なパスワードが不適切に運用される動機づけを与えてしまっているのだ。パスワードは、もちろんサービスやアカウントごとに異なる文字列を設定するのが好ましく、またサービスごとに許容されている最大の桁数で設定することが望ましいのだが、そういう方針でパスワードを管理するためには、どこかに記録できなくてはいけない。覚えてなどいられないのだ。そこで、手帳に書き記すとか、自宅なら付箋に書いてモニターへ貼り付けるといった手法が昔からあって、それらはそれなりのリスクがある。そして、最近ではパスワードをオンライン・サービスに登録しておくという手法が出てきている。

そして、ここで何度か書いているように、僕はオンラインのパスワード管理サービスというのは、パスワードを記録したり管理する方法としては論外だと思っている。そのサービスが外部から攻撃される様子を、ユーザは黙って見ていることしかできないからだ。というか、情報が漏洩した後でしか、ユーザはサービス運営会社から漏洩した事実を通知されない。もちろん、誰も一人だけでコンピュータを作ったり世界中のネットワーク通信を繋ぐことなどできず、しょせんは膨大な人数で分担し分業する他はないのだが、自分だけの力で管理したり守るべきものもある。パスワードは、自分が導入したパスワードの管理ツールによって記録したり管理できる。そして、そのパソコンや、管理ツールに記録した情報へアクセスするための「マスター・パスワード」の設定や管理(これは記憶でもいい)は、利用者である僕ら自身に安全性の大半がゆだねられており、機密情報の管理というものはそうあるべきだと思う。

ただ、旧シマンテックが販売していたような、有償のソフトウェアで機密情報を管理するという方法は、あまり感心しない。その企業が開発やサポートをやめてしまう可能性は、はっきり言ってオープンソースのプロジェクトとリスクは大して変わらないし、安全性も似たようなものである。なんと言っても、オンラインのサービスと同じく、お金が払えなくなると情報にアクセスできなくなる可能性があるのだ。自分の機密情報なのにアクセスできなくなるというのは、それが最も重大なリスクだろう。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook