 Re: IDやパスワードの管理 ( No.1 ) |
- 日時: 2010/08/25 19:28
- 名前: o6asan
- juneさん,こんばんは。
いまだに,平文のテキストに保存しています。
で,そのテキストファイルの保存方法が,種類によって違います。
1.クレジットカードで買い物をするサイトのパスワードなどは,保存したテキストファイルをUSBフラッシュディスクに入れて
使用時以外はオフラインです。
2. メールのパスワードなどもそうですが,これはメーラには記憶させています。
3. PCのログオンパスワードなどは,保存方法は1.と同じですが,暗記しています。
4. フォーラムなどのパスワードは,平文で保存した一覧表にしてあって,通常使用のPC上にあります。
1.〜3.については,ちょくちょく変更します。
パスワードは,簡単なランダム発生のプログラムを作っていて,つい最近までは,アルファベットと数字の
8文字でしたが,今年の初めに,$%なども含む12文字に変更しました。
今のところ,管理ソフトは使ったことがありませんが,そのほうがいいかもしれませんね。
|
| Re: IDやパスワードの管理 ( No.2 ) |
- 日時: 2010/08/26 10:55
- 名前: june
- o6asanさま こんにちは
やはりというか、さすがというか
レベルごとにしっかり管理されてますね。
私の場合は”設定”と言う名前のフォルダーを作り
テキストや、エクスポート出来るモノはやって置いていました。
ただ、それでもバラバラになって分かりにくかったものですから(管理ベタです)
この手のソフトを導入した次第です。
各項目にメモの機能もありますので、簡単な備忘録?にもなります。(関連の情報等)
パスワード生成は添付画像の様なものです
安全性がどの程度の物なのか、私には分かりませんが・・・
|
| Re: IDやパスワードの管理 ( No.3 ) |
- 日時: 2010/08/26 19:54
- 名前: キンちゃん
- 以前クレジットカードの暗証番号を間違えて覚えていて
不便だったことがあるので
あまりパスワードは変えていません。
Xpでは
おまけでついていた圧縮機能のzipに
暗号オプションがありましたね。
一応それを使ってテキスト保存した物を暗号化していますが
展開した後戻し忘れることもあります。
Vistaでは暗号化ができなくなったと思いましたが
Windows7ではどうなったのでしょうか?
職場では
端末ログイン用のパスワード以外にソフトのパスワードを設定すると
それを使う気が無くなる人が多いので
一応暗号化せず保存しています。
|
| Re: IDやパスワードの管理 ( No.4 ) |
- 日時: 2010/08/26 21:01
- 名前: o6asan
- みなさん,こんばんは。
まぁ,ワンタイムパスワードなんぞは,一般庶民には必要ないでしょうが,ネット上は日本国内ではありませんから,
それなりの注意は必要でしょう。遺失物や離脱物にたいする根本的な考え方が,日本人とは全く違う国民のほうが
多数派ですから。職場におけるセキュリティ教育は余程のIT関連会社でない限り至難の業ですが,そういいながら,
webへの依存度は,中小企業ですら高まっていますから,頭の痛いところです。
ところで,よくサイト上で,パスワードチェッカーなるものが提供されていますよね。
天下のMS様のものでチェックしてみました。単なる参考データですが,以下のような感じでした。
(1) 弱 ====> 11111111111111111111
(2) 中 ====> 2010/08/26 <---- 日付の強度は「中」ですが,これに人的要素がからむと,実際の強度はもっと弱くなりますね。
(3) 強 ====> 5TFaR3nz <---- 先日まで,私が使っていたタイプ
(4) 最強 ====> 1vF8NyBzHAX4OL
(5) 最強 ====> Wv\jdK%y<NlLh{ <---- 現在,私が使っているタイプ
どうやら,このサイト,ランダム文字列に対しては長さで強度の判定をしているようで,(4),(5)の判定が
変わりませんで,どちらも1文字減らしただけで,「強」の判定になるのですが,実際は,(4)と(5)では
強度は違います。
使用したサイトのURLは以下のものです。ご自分のパスワードを入れて見るのも一興かも。
https://www.microsoft.com/japan/protect/yourself/password/checker.mspx
|
| Re: IDやパスワードの管理 ( No.5 ) |
- 日時: 2010/08/27 11:15
- 名前: チョンキンガーデン◆Wf.gXRyk5RQ
- こんにちは。
正直、自分はこのてのパスワード、ほとんど変更作業をしておりません。
いけないと思っていても、なかなか億劫で、やらない方々は多いと思います。
実際にネットバンクなどにログインすると
パスワードの変更がいついつからされていないから、変更して下さい的
アナウンスが毎回出てきます。
o6asanさんがし使用されている(5)クラスのパスワードを
定期的に変更し、紙ベースで保管(PC内で暗号化ではなく)されて
仮想キーボードでの入力をしていれば
それなりに安全は確保できそうですね。
|
| Re: IDやパスワードの管理 ( No.6 ) |
- 日時: 2010/08/27 13:34
- 名前: june
- みなさん こんにちは
予想していましたが、やはりこの手のソフトは余りお使いじゃないようですね。
私は以前サイトを改竄られた経験がありまして、それ以来簡単にと言いますか
手間を掛けずにパスワードの変更と記録?が出来たらいいなと思ったのも導入の切っ掛けでした。
まあ、それぞれやりやすい方法で管理するのが良いと思います。
安全性の観点からどうなのかな?と言う疑問もありますが
パスワードを変更しやすい便利さもあります、どちらを取るかは個人の判断でしょうね(笑)
今さらながら、おまかせ鍵助2の記事です(爆)
http://pc.nikkeibp.co.jp/article/special/20090529/1015617/
ご興味のある方はどうぞ。
|
| Re: IDやパスワードの管理 ( No.7 ) |
- 日時: 2010/08/28 06:09
- 名前: りり
- juneさんの「サイトを改竄られた経験」というのは、ビックリです。
普通は、なかなか真剣に考えないですよね。
このスレッドは、フリーソフトのカテゴリーにしてしまいましたが、「ネット安全対策」のほうが良かったかな?
o6asanさんが鋭くこちらへ誘導するリンクを入れてくださいました。
で、サイトを改竄は、FTPパスの漏洩があったのでしょうか?
うちのプロバイダは、もう数年前になりますが、FTPのIDをユーザーIDと別のランダムなものに変えてきました。
ユーザーIDは、サイトのURLからすぐ分かってしまうからです。こういう対応も、プロバイダが素早く行っているか?なども注目ですよね。
今は、改善されましたが、少し前まで、yahooの認証システムはお粗末だったので、IDとパスを盗まれるということが横行していました。yahooIDで作っていたジオシテイのサイトなら簡単に改竄されたと思います。
http://todos.xsrv.jp/2patiosec/todos.cgi?mode=&no=5&p=15
http://todos.xsrv.jp/2patiosec/todos.cgi?no=1
http://todos.xsrv.jp/2patiosec/todos.cgi?no=2
うちへ盗んだIDで脅迫メールを寄越した使いっ走りもいました。
|
| Re: IDやパスワードの管理 ( No.8 ) |
- 日時: 2010/08/28 11:33
- 名前: june
- みなさま こんにちは
o6asanさま
パスワードチェッカーを試してみました
鍵助で生成したパスワードを打ち込んでいきますと
12文字で最強?になりました、お書きのように文字数がとても影響するようですね。
違うのを作って数回やりましたが、結果は同じでした。
チョンキンガーデンさま
仮想キーボードと言う言葉は初めてです
キーロガー対策でしょうか?
りりさま
自分のサイトが改竄される、なかなか体験出来ないですね(涙)
2008年1月下旬のことでした・・・
当時はまだガンブラーというような言葉も無かった気がします
でも手口は似たような感じかも?
ファイル名がindexやhomeのソースの
<body>の後に
<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe>
<script>function 長ったらしいコード;
</script>
が埋め込まれていました
訪問者様が気付かないウチにウイルスが置いてあるページに飛ばしちゃうタイプです。
幸いと言いますか、そのページ自体が既に無くなっていましたので、多分ご迷惑を掛けずにすんだと思います。
でもそれからが大変でした・・・・
サイト上のファイルを全て落としてきましてウイルスチェック
サーバーのファイルは全削除(後で実験するのにindexのみ上げたりしてましたけど)
リンクをして下さっている所にリンク削除のお願い・・・
当然PCもオンラインでチェック(有名どころ2箇所)
でもウイルス感染は有りませんでした・・・
少し落ち着いてから登録しているIDやパスワードは全て変更しました(ものすごく手間だったんです)
PCもフォーマットから再インストールです・・・・
話が前後しますが、何故気が付いたかと言いますとWWWCのおかげなんです
更新していないのに更新になっていましたので、可笑しいなと・・・
そんなことで、ソースを見まして発見です(涙)
試しに違うファイルをアップしても一時間もすれば改竄されてました
ロボット系でしょうか?
>サイトを改竄は、FTPパスの漏洩があったのでしょうか?
それなのですが、結局分かりませんでした・・・
当時は4ヶほどサイトを登録していたのですが
hi-hoとyahooだけがやられていまして、他の2つには影響がありませんでした
漏れているのであれば全部やられそうな気もしますし、でも2箇所やられたので漏れてるのかも
と、当時も原因が分からず悶々とした記憶があります。
>、「ネット安全対策」のほうが良かったかな?
これに関してですが、出来れば余り感心のない方に便利だと言うことで使って頂ければ
なにもしないより安全で忘れ物が減るかなと思っていたんです、それでこちらにしました。
o6asanさまが”Gumblarウイルスが猛威NO.20”http://todos.xsrv.jp/2patiosec/todos.cgi?no=13
で書かれていますように、取っつきやすさが狙いでしたが
私の立て方が悪かったようです・・・
結果、この話題に感心のある方は、セキュリティー面に詳しい方々でして
思っていた方向と若干ずれました(笑)
でも話題としては私も勉強になっていますm(_~_)m。
>プロバイダが素早く行っているか?なども注目ですよね。
これに関しましては、経験上(笑)私もそう思います。
hi-hoなんかは駄目です・・・でも9月からメールアドレスの変更手数料が0円になるらしいです
これでスパムの嵐から少し逃げられるかも?と期待しています、今まで200円が勿体なかったんです(涙)
>盗んだIDで脅迫メールを寄越した使いっ走りもいました。
アラ!また凄いことをする輩がいたんですね、相手を見ないと・・(失礼)勿論冗談です。
長文&駄文すみません。
 |
| Re: IDやパスワードの管理 ( No.9 ) |
- 日時: 2010/08/28 13:49
- 名前: りり
- >盗んだIDで脅迫メール
これね、ヤフーIDなんだけど、思い出して、そのときの乗っ取られたIDをまた見てみました。
まあ、一つは、停止中なのだけど、IDは残っているのよ。
私は、ヤフー宛に、IDのっとりのこと、脅迫メールのこともメールしているのによ。
多分、メールでも連絡付かないのか、ヤフーも強制退会もできないのかもしれないけど。
もう一つは、停止中にもなっていない…
そのメールはね、本名での差し出し人名まであったのよ。乗っ取ったIDでは、どういう差し出し人名になっているか、確認もしないから、そのまま出したんでしょう。
のっとったIDでオークション詐欺をしてね、悪い評価されたのも未だに残っています。
で、当時ヤフー掲示板に、詐欺サイトへのリンクがどんどん貼られ、私は見つけたら、詐欺サイトへの警鐘を書き込んでいたのよね。
で、そういう書き込みや掲示板への脅迫書き込みが、削除依頼もしていないのに、あっという間に削除されたことがあって…
ヤフー掲示板の管理人員、パートみたいな人なんでしょうけど、一味の仲間がいるとしか思えなかったわね。詐欺サイトへのリンク貼りを使いっ走りが、バイトで請け負っていたみたいで…
「仕事の邪魔するな」とか、「背後に大きな組織がある」とか、脅しをかけてきて、そういう書き込みは、悪党の元締めにも困るから、急いで削除したようです。
その詐欺サイトへの警鐘を書き込みだけど、見つけるのも手作業でした。
悪用されたのは、ロリポップ系統のサーバだったので、ロリポップが出しているドメインでヤフー掲示板投稿の検索をかけてね。ロリポップは、ドメイン数が多いので、大変だったのよ。
そのとき気づいたのだけど、ロリポップを始め、レンタルサーバは、過当競争で、一週間とかの無料お試し期間を設けていて、本人確認無し、引き落とし口座手続き無しのまま、いくらでも、サイトを作ることができるのよ。
私も試しに申し込んでみたけど、名前も何も、架空のでできちゃうのよ。
ということで、レンタルサーバー側に、悪用を通報しても通報しても、次々と別のサーバを梯子して詐欺サイトを作り続けるのよ。
さくらサーバなどは、対応が早くて、詐欺サイト検知、自動削除みたいなプログラムを入れてね。
そういうプログラムが最期までできなかったのが、ロリポップ!
ここのXserverは、悪用サイトに登場しなかったので、私のレンタルサーバ選びで、選択肢に入れたのよね。
サーバ選びも考えどころですが、無責任なサイト作製を許す「無料お試し」というのは、規制すべきじゃないかと思いました。
まあ、ヤフー絡みは、信用できないので、いろいろと注意が必要かと思いますが、今は、どうなんでしょう?
|
| Re: IDやパスワードの管理 ( No.10 ) |
- 日時: 2010/08/28 19:41
- 名前: チョンキンガーデン◆Wf.gXRyk5RQ
- こんばんは。juneさん。
>仮想キーボードと言う言葉は初めてです
>キーロガー対策でしょうか?
そうです。キーロガー対策です。
仮想キーボードという言葉が適当でないかもしれません。
今回の件では、例えばネットバンキングでの説明です。
添付写真は、とあるネットバンキングのログイン画面です。
少し調べたサイトでは「ソフトウェアキーボード」と表記されていました。
ここでは、マウスのみでも英数字が入力できます。
パソコンに、キーボードのどのキーを使ったかが残らない方法ですよね?
「セキュリティーキー」という表記になっています。
パソコンにも、キーボードを使わずに
アクセサリーにある「Tablet PC 入力パネル」で
(こちらがいま使用しているパソコンのOSはVistaです)
マウスでの入力ができます。
もう一つの写真の方です。
|
IDやパスワードの管理