さまざまなWebサイトにログオンしていると仮定しましょう。 Facebook、Gmail、eBay、PayPal、おそらくいくつかの銀行、おそらくいくつかのディスカッションフォーラム、そしておそらくもっと多くのことです。いくつかの質問を考えてみてください:
同じパスワードを2回使用しないように、常に一意のパスワードを作成しますか?これまで?
パスワードは、大文字や小文字、数字、句読点など、常にさまざまな文字タイプを使用していますか?彼らは「強い」ですか?
これらの両方の質問に「はい」と答えることができない場合、あなたは自分自身に問題を抱えています。しかし、問題は、ユニークで強力なパスワードをすべて覚えておくことができず、これをより早く認識すればするほど、より安全な代替手段を受け入れることができるということです。
問題の実証を手伝いましょう。実際に家に帰るはずのいくつかの現実世界の例に基づいて、あなたが再利用または弱いパスワードを作成するときに何が起こるかを示します。また、これらの問題を優れたパスワードマネージャーで克服する方法も紹介します。パスワードを覚えようとしていない限り。
複数のアカウントの専制
考えてみてください。インターネットにはいくつのアカウントがありますか? 10? 20? 50?私は最近私の90を特定しましたが、私が単に忘れてしまったことがたくさんあります。アカウントが10個しかない場合でも、強力でユニークで記憶に残るパスワードを作成できます。
「...セキュリティとはすべてリスク軽減に関するものです。実際に「安全」になることはなく、リスクを軽減するだけです。」
起こることは、人々が姓、ペット、趣味、あらゆる種類の自然でやや予測可能な基準などのパターンに戻ることです。パターンは両刃の剣であり、記憶に残るものであるが、予測可能であるため、パターンがあいまいに見えても、わかっていれば、少し問題がある。
パターンと予測可能な単語は悪いですが、さらに悪いことはパスワードの再利用です。私たちは単に非常に多くのいまいましいものになってしまうので、それらを暗記する問題は繰り返しで扱われます。簡単?はい。安全な?とんでもない。
パスワードが弱いという問題
まず、パスワードが弱いのは何ですか?強力なパスワードに焦点を当てることにより、これをラウンドアバウトの方法で答えさせてください。強力なパスワードとは、私たちが呼ぶものを高度に持っているパスワードですエントロピ、または簡単な用語では、可能な限り長くてランダムなもの(両方の文字型とシーケンスの観点から)。エントロピーリンクが説明するように:
人々は、満足のいくパスワードを作成するのに十分なエントロピーを達成することで有名です。
最近のいくつかのイベントに基づいて、これに関する問題を示しましょう。まず、昨年12月になったGawkerがいました攻撃の犠牲者(編注:おそらくこれを覚えておいてください)これは、100万人のユーザーアカウントの順序でどこかのどこかの開示につながります。さらに悪いことに、これらのアカウントはオンラインで投稿され、サービスにサインアップした人とパスワードが何であるかを見たい人がすぐにアクセスできます。
パスワードの強さのコンテキストで興味深いのは、悪いパスワードの選択の有病率です。これらを見てください:
123456、パスワード、12345678、QWERTY、ABC123、12345、Monkey、111111、Consumer、Letmein、1234、Dragon、Trustno1、Baseball、Gizmodo、Whaty、Superman、1234567、Sunshine、Iloveou、Fuckyou、星空、
これらの25のパスワードはそうでしたGawkerアカウントを持つ人々が合計13,411回使用しました。最初のもの - 123456は、25回だけで使用されました。
別の非常によく似た例は、先月rootkit.comでの攻撃でした。侵害されたデータベースのパスワード分析では、これらの上位25のパスワードが示されました。
123456、パスワード、rootkit、111111、12345678、qwerty、123456789、123123、qwertyui、letmein、12345、1234、abc123、dvcfghyt、0、r00tk1t、マスター、aaaaaa、1qaz2wsx
おなじみに見えますか?さらに悪いことに、どこを見るべきかを知っていれば、対応するユーザー名を簡単に見ることができます(私はこれらを故意にぼやけましたが、オリジナルは見つけるのは難しくありません):
しかし、これらのケースと、パスワードの強さが重要である理由との関連性の両方について本当に興味深いことです。これらはすべて、データベースに暗号化された方法で保存されました。暗号化の概念を掘り下げることなく、これらの両方のサイトで問題の核心は、暗号化がひどく実装されたことです。
rootkit.comなどのデータベースが不十分に実装された暗号化でワイルドにリリースされると、ハッカーは一般的なパスワードの辞書にフィードし、それらをデータベースと比較して一致を見つけることにより、暗号化プロセスを再現できます。暗号化の性質は、このプロセスを何百万回も繰り返す必要があることを意味しますが、完全に自動化されたプロセスです。
パスワード辞書は一般的に利用可能です(そこにあなたのいずれかを見るのではないかと思いますか?)侵害されたデータベースに対してそれらを実行するソフトウェア。最大の制限は、かなりリソース集中プロセスを実行するために必要なコンピューティングパワーですが、私たち全員が知っているように、計算能力は非常に速いペースで増加しています。1分あたり28セントのみで1秒あたり400,000パスワードをテストします。
しかし、一番下の行はこれです。パスワードが認識可能なパターンに準拠している場合、あなたに関する他の既知の情報(妻や子供の名前など)に基づいてパスワード辞書に基づいて推測できるか、十分なバリエーションが含まれていない可能性があります。キャラクターでは、それがはるかに低くなると推測するために必要な試行回数。あなたはになります低い果物。
パスワードの再利用に関する問題
あなたはおそらく、複数の場所で同じパスワードを再利用するべきではないことをすでに知っているでしょうが、私はできる限り明確に、直接的な観点から、なぜそうではないのかを説明させてください。最近ログオンしたときにメールで私を待っていたものは次のとおりです。
それが完全に明確ではない場合に備えて、持っていますあなたのメールアドレスとパスワードが侵害されました正確には理想的ではありません。これらの資格情報の範囲が1つのウェブサイトである場合、それは不便です。ただし、これらの資格があなたの金融機関、あなたのソーシャルネットワーキングサイト、特にあなたのメールアカウント全体で再利用された場合、それは不便ではありません。
trapster事件の翌日だけ、このようなツイートポップアップを開始:
私が前に言及したゴーカー事件に戻って、その後まもなく、Gawkerのアカウントを持っている人々のTwitterアカウントに奇妙なことが起こり始めました。彼らは始めましたアサイの果実について怒鳴ります。
これは、資格情報を再利用したときに何が起こるかを示す明確な例です。 Gawkerデータベースは十分に大きく、パスワード全体が加害者として十分にramp延している現象を再利用しました多くのTwitterアカウントを妥協することになりました。これらの事件が私たちに示しているのはそれです実際のデータ分析に基づいて、パスワードの再利用は驚くほど高い。
間違いなく、この問題の多くは、ウェブサイトでのセキュリティの実装の不十分なことに関連しています。基本的なセキュリティの欠陥を備えたWebサイトを構築するのは非常に簡単です。この分野のもう1つの問題は、ソフトウェア開発者が「」という態度をとることが多いことです。私たちのサイトの情報はそれほど敏感ではないので、セキュリティはそれほど重要ではありません」。もちろん、そのサイトとPayPalアカウントに同じ資格情報を使用して使用した場合、すぐに深刻な問題が発生する可能性があります。
私たち全員がユーザー名を再利用するため、そして多くの場合、ユーザー名はあなたのメールアドレスであるため、選択肢はあまりありません。これは、ユーザー名とパスワードを一致させるだけで、別の侵害されたアカウントへのデータベースの開示の結果として、ある侵害されたアカウントからの非常に短いホップです。実際、その考えの学校がありますユーザー名はあなたを裏切りますそしてHotmailは最近、追加のメールアドレスを簡単に作成することができましたこれは、アカウントを一致させるリスクを軽減する可能性がありますが、それはおそらくあなたが今本当に必要なものよりも少し先に進んでいます。
この種のことはどれほど一般的ですか?
とても。 Gawker、Rootkit.com、Trapsterはすべて非常に最近の例ですが、さらに多くの例があります。オンラインデートに?おそらく「たっぷりの魚」を聞いたことがあります:
緑豊かな香りのような香りの良さのように?彼らの英国のサイトは今年初めにヒットしました:
英国ではなく、緑豊かな詳細は安全だと思いますか?完全ではありません(しかし、心配しないでください、事件は「無関係」です…):
もちろん、これらはすべて非常にターゲットを絞った攻撃でした。悪意のあるコンピューターアクティビティはこれをはるかに超えており、多くの場合非常に無差別です。私たちは今についてです5,000万のウイルスとカウント、昨年、人々の2,000万人が人々を襲った。
私はあなたを怖がらせないようにこれらのポイントを作っています。むしろ、これが非常に一般的なものであることを明らかにしようとしています。上記の例は、ごく最近の時代から実際に知っているもののほんの一部です。私たちが知らない資格情報が公開されている場合、そしておそらくウェブサイトオペレーターが違反を知らない場合のかなりの割合がある場合、かなりの大きさがあります。これは一般的な人々であり、悪者に対して先制的なストライキをするのはあなた次第です。
「安全な」パスワードの神話
何よりもまず、「セキュア」という言葉は、絶対的な用語のように頻繁に投げられます。そうではありません。それ以上探していませんstuxnetウイルス;インターネットから完全に切断されたイランの核施設で遠心分離機を実行しているコンピューターは、ウイルスの標的を正常に標的にしました。確かに、これらのシステムは、単語の合理的な定義によって「安全」と見なされていたでしょう。
車が「安全」だと言うようなものです。間違いなく他の人よりも優れている人もいますが、結局のところ、それはリスク軽減演習になります。車に支払われたパスワードや価格の単純さなど、いくつかのことを交換します。また、パスワードをクラックするか、車内のより多くのエアバッグをクラックするなど、より良いリスクプロファイルが得られます。
一部の人々(この場合はGoogle)が、パスワードを保護する必要があると考えていると信じている方法は次のとおりです。
真剣に?何十もの「サンドイッチが大好き」スタイルのパスワードを覚えようとすることを想像できますか?フレーズが何であるか、どのキャラクターを置き換えたキャラクター、どのサイトに使用したかを覚えておく必要があることに留意してください。
その上、強力なパスワードのアイデア全体は、予測可能なパターンを避けることです。 「a」の代わりに「@」、または「e」の代わりに「3」を置き換えます本当に悪者を香りから捨てるつもりですか?代替されたキャラクターを備えた記憶されたパターンは、セキュリティの非常に薄いベニヤであり、私を信頼しています、悪者はこのトリックを聞いたことがあります。
実際、以前にリンクしたパスワード辞書には、文字置換の多くの一般的な発生が含まれています。そこには、「S@yg00dbye」や「s0cc3rrul3s」などの例があります。正確には「安全」ではありません。
パスワードを紙に書き留めることは、どんな好意もしません。あなたはそれらの多くを持っているので(そしてあなたがそうします)、あなたはまた、パスワードがどのアカウントに属しているかを書き留める必要があります。強盗 /子供 /鼻のようなゲスト。
手書きのアカウントの詳細に関するもう1つの問題は、最近では私たちの多くが、ホームPC、作業PC、ますますモバイルデバイスなど、さまざまな場所にログインしていることです。オンラインの世界への鍵をどこかに引き出しに閉じ込めていることは実際にはありません。多くの人にとって不便なことが大きすぎるだけです。
そして最後に、手書き強いパスワードは、どこかでログオンするたびに継続的に再入力するにはあまりにも苦痛です。強力なパスワードは非常に長く、非常にランダムであることを忘れないでください。まさに、退屈でエラーが発生しやすいと手動で入力する属性。
では、単語ドキュメントまたはOutlookのようなメモシステムに保存するだけですか?盗むのは簡単すぎるので、これが起こると、暗号化されていないため抽出するのは簡単です。誰かがそのファイルを手に入れ、あなたは最も不快な方法で本当に妥協しています。
パスワードの専制から自分自身を解放します
額面では、この投稿のタイトルは奇妙に聞こえます。すべてのパスワードを忘れた場合、どのようにしてWebサイトへのログオンを続けることができますか?!純粋でシンプルな専用のパスワード管理システムが必要です。現在の日には、それに対処するための別の実用的で安全な方法はありません。
幸いなことに、まさにそれを行うことに焦点を当てたツールがあります。たとえば、ありますラストパス、Keepassそして私の個人的なお気に入り、1password。これらのツールはすべて、すべてのパスワードを1つの強く暗号化された場所に記録することができます。もちろん、暗号化されたファイルのロックを解除するにはパスワードが必要ですが、前述の製品名のいくつかが示唆するように、単一のファイルを覚えておく必要があります。
編注:ここ数ヶ月で多くのことを言ってきましたパスワードの状況を改善する方法 LastPassを使用します。以下では、トロイは1passwordで少し深く入ります。あなたのために機能するオプションを自由に使用してください。最も重要なことは、あなたが何かを使っているということです。
これが重要なポイントです:この単一のパスワードは強力でなければなりません!パスワードが1つだけですべてのWebサイトにキーをロックする場合は、誕生日や子供の名前、サンドイッチを忘れることができます。今回はまともなものを選ぶ必要があります。
1PassWordアプローチ
1passwordを実行している場合は、従来の方法でWebサイトにログオンしたときに何が起こるかをお見せします。ログインしますSlashdotこれは少し技術的なWebサイトですが、このプロセスはほとんどすべてのWebサイトでほぼ同じです。
通常のユーザー名とパスワードから始めます。
しかし、「ログイン」ボタンを押した後、1PassWordは資格情報を保存するために申し出ます。
名前はデフォルトですが、ページのアドレスはページのアドレスになりますが、今または少し後でより論理的なものに変更することができます。 「保存」ボタンを押すと、1PassWordが「マスター」パスワードを求めています。これは、他のすべてのパスワードを管理するために必要な単一のパスワードです。
これは、私が記憶した1つの単一の強力なパスワードです。実際、それは今ですのみ私が覚えたものといいえ、それは「iloves@ndwich3s」ではありません!
これを保存して、Slashdotからログアウトしてから戻って再度ログインしようとしますが、今回はSlashdot資格情報を入力するのではなく(私は便利かつ故意に忘れています)、小さなキーアイコンをヒットしますURLバーの右側:
これは今、私のマスターパスワードをもう一度求めています。これは覚えておく必要がある唯一のパスワードです。これを入力した後、以前に作成されたエントリを見ることができます。
私できたここに複数のエントリがあります(特定のサイトに複数のアカウントがある場合があります)が、既存のエントリをダブルクリックするだけです。それだけです - 私たちは今ログオンしています!
このプロセスの美しさは、すべてのサイトと同じであることです。これらの90の奇妙なパスワードをこれ以上覚えておく必要はありません。各サイトに手動でログインし、1Passwordが資格情報を保存できるようにするモーションを実行する必要があります。
また、さまざまなブラウザからこれを行うこともできます。上記の例ではGoogle Chromeを使用していますが、1Passwordは他のブラウザーとも統合しています。
安全になる
もちろん、パスワードが最初に安全ではなく、このプロセスが行っているすべてのパスワードの安全なレコードを保持する可能性があります。これはいくつかのハウスキーピングを行うのに最適な時期であり、1Passwordはそれを非常に簡単にします。
すべてのアカウントを追加して追加したとき、1つのパスワードで1つに出くわすたびに、1Passwordアプリケーションに入り、作成したアカウントを開き、新しいアカウントを生成しました。これをそよ風にする非常にきちんとした小さなツールが構築されています。
これ安全なパスワードのように見えるものです(上の青で強調表示されています)。それがあなたが暗記するためにサバントである必要があるものではない場合、それは十分に安全ではありません。しかし、もちろん、上記のプロセスでは、パスワードが完全に理解できないことは関係ありません。覚えておく必要があるのはマスターパスワードだけです。
現在、このプロセスは実際にはウェブサイトでパスワードを変更することはなく、1Passwordで記録したパスワードのみです。これをクリップボードにコピーしてから、個々のWebサイトに移動してそれに応じて変更する必要があります。はい、それはちょっとした動き回りですが、数分のために、他のオンラインアカウントではあなたに対して使用できない非常に安全で非常にユニークなパスワードを作成したばかりです。
これらすべてに1つのゴッチャがあります。一部のWebサイトでは、安全なパスワードを作成できません。今年の初めに、私はそれについて書きました悪いパスワードプラクティスの誰が誰ですか - 銀行、航空会社などいくつかのWebサイト、特に銀行は奇妙なことに、長いランダムなパスワードを構築することができないことがわかりました。長さを非常に少ない数に制限するか、多くのキャラクタータイプを禁止するか、極端な例では、数字のみを含む短いピンを主張します。残念ながら、あなたはこれらのサイトがパスワードに配置するコントロールに完全に慈悲にかかっているので、このような制限に達したとき、あなたができることは、ばかげた制約の中でできることを最大化することだけです。
パスワードを撮影してください
私にとって重要だったことの1つは、いつでも、あらゆる場所から、いつでもパスワードにアクセスできることです。ワークPC、ホームPC、iPad、iPhoneはすべて同期する必要がありました。
1PassWordでは、次のことを行うことができますドロップボックスファイル同期サービス。これは非常に堅牢であることが証明された優れた製品であり、1Passwordファイルを同期し続けるように簡単に構成できます。最終的に、それは私のすべてのPCが同じ安全なパスワードファイルを持っていることを意味し、私のiPadとiPhoneにはそれぞれこのようなフレンドリーな小さなアプリがあります:
パスワードファイルをオンラインで置くのは危険ですか?さて、程度確かにリスクがありますが、Dropboxサービスは長年にわたって非常に安全な実装であることが証明されています。そしてもちろん、1Passwordファイルはまだ安全に暗号化されているため、誰かがそれを手に入れたとしても、(強力な)マスターパスワードが必要です。実際、全体の最も弱いリンクは、おそらくドロップボックスアカウントを保護するパスワードです。
これは「1つのバスケットの中のすべての卵」ではありませんか?
はい、そうですが、それは非常によく考えられ、非常にしっかりと固定されているバスケットです。誰かが最初に公開されたすべてのパスワードを含むファイルを取得する必要があり、次にマスターパスワードを開示、推測、またはブルートフォースを攻撃します。
すべてのアカウントの詳細を一度に公開することは間違いなく非常に悪いことですが、リスクは、ウェブサイトを介して侵害される可能性と比較して無限です。
もちろん、他のリスクは、1Passwordソフトウェアでまだ未知の脆弱性が見られることです。確かに私たちが呼ぶものゼロデイ脆弱性(まだ知られていないもの)は可能です。実際にありました先月ラストパスで見つかったものそして彼らの功績として、彼らはその穴を数時間以内に差し込みました。そして、それがこの性質の専門的な製品のポイントです。彼らの全体の存在は安全なソリューションを提供することに集中しており、脆弱性が見つかった場合、あなたはそれが押しつぶされることをかなり確実にすることができますとても素早く。
まとめ
あなたがこのすべてのスーパーセキュリティを手に入れたので、あなたはほとんど無敵ですよね?ええと…
コミックからXKCD。
そして、これは私をきちんとした哲学的結論に導きます。セキュリティはすべてリスク軽減に関するものです - 実際に「安全」になることはなく、単にリスクを減らすだけです。バランスで、非常に安全なWebサイトでさえ、アカウントの詳細がそこに座っているリスクは、1Passwordファイルにそれらを置くよりも大幅に高くなっています。
しかし、セキュリティだけでなく、パスワードマネージャールートは非常に便利なソリューションです。すべてのアカウントをすべてのデバイスで手元に置いて、かつて強力なパスワードで単純にログオンできることは、非常に便利なルートです。
そして最後に、あなたがあなたのアカウントの1つが侵害されていることに気付く時が来たとき(そして私を信頼してください、それは来るでしょう)、パスワードのセキュリティについてはよく考えていません。手遅れです。ある日の午後、数時間脇に置き、数ドルを費やして、整理してください。それか、アサイベリーの味の開発を開始します!
トロイは、過去15年間、金融、メディア、ヘルスケア業界でWebアプリケーションを構築してきました。シドニーオーストラリアに拠点を置く彼は、今ではPfizer Pharmaceuticalsの新興市場の建築家として働いており、日々(そして頻繁に夜)を過ごしています。 Troyのソフトウェアの関心は、同僚やパートナーが実証済みのフレームワーク内で高品質のアプリケーションを提供できるようにすることに焦点を当てています。彼は定期的にアプリケーションのセキュリティ、ソフトウェア開発プロセスの改善、そしてすべてのテクノロジーに関連するものについてブログを書いていますTroyhunt.com。