「パスワード」タグアーカイブ

Windowsのパスワードは複雑にすべき(ophcrack)

lifehackerに「パスワードがわからなくてもWindowsにログインする方法(と対策)」という記事がありました。そこで紹介されているophcrackというパスワードを探し出すソフトを試しに使ってみました。

ophcrackにはいくつかバージョンがありますが、LiveCD版が扱いやすいと思います。ダウンロードしたisoファイルをCDに書き込んで解析したいパソコンをこのCDから起動します。表示されるメッセージに従って操作するとそのパソコンのWindowsのユーザー一覧が表示され、パスワードの解析が始まります。パターンファイルの様なものからの組み合わせなどを試しているようです。

アルファベット8文字(数字含まず)のパスワードを設定していましたが、30分足らずで解析が終わりました。

CDによる起動ができればパスワードも時間の問題だと言うことですが、30分という時間が思いのほか短時間だという印象を受けました。この時間はパスワードの複雑さとPCの処理能力によって左右されますが、もうちょっと時間がかかってしまわないと、鍵としての役目を果たしません。

銀行ATMのように3回間違えるとロックされるという仕組みもできないことは無いでしょうが、OSを超えて解析されると防ぎようがありません。また、通常のPCの利用ではロックを解除する管理者をそもそも置くことができません。

複雑なパスワードを設定するとWind0wsにログインするたびに入力を求められるので便利さとの兼ね合いになります。しかし、オフィスなど人の出入りのある場所のPCはこのような方法でログインされる危険があるので、できるだけ複雑なパスワードが望ましいといえます。

パスワードは覚えない

Webサービス等で利用されるパスワードにはいろいろ制約があります。8文字以上だったり、英数字を含めたり、Apple IDなどは大文字小文字を混ぜることを指定されたり、場合によっては記号を入れることを強制されたりします。

複数のサイトで同じパスワードを使うのも気が引けるので、パスワードは増えるばかりです。

ほとんどのサイトで、「パスワードを忘れたときは?」というリンクがあり、そこからメールでパスワード再設定のページへの案内が出るように自動化されています。こんな風になったので、もう、積極的に覚えるのをやめることにしました。この方法ならパスワードの再発行にそれほど時間はかかりません。以前は郵送のみの受付ということもありましたが、現在では皆無です。

よく使うサービスでは自然に覚えます。そのほかのサイトは、「困ったときは再設定」と決めたことで気が楽になりました。

Firefoxにマスターパスワードを設定

前回、ID・パスワードを要求するサイトを便利にブラウズするために、FirefoxにOperaのようなログインボタンを追加しました。

自分一人しか、パソコンの前にいない状態なら便利ですが、職場等では少々不安ですので、Master Password+というアドオンを追加しました。ブラウザにマスターパスワードを設定するところまでは標準の状態と変わりませんが、以下のような機能を追加することができます。

  • サイトのアドレスの右側に、マスターパスワードが入力済みか否かを表示
  • 一定時間経過すると、マスターパスワードの入力済み状態を解除(操作がなくなってからの経過時間としても設定可能)
  • 一定時間でブラウザをロック(解除にはマスターパスワードの入力が必要)
  • 任意のタイミングでマスターパスワードの入力済み状態を解除

などなど、操作の煩わしさを最小限にして、セキュリティをちょっと向上させることができます。