【第1回】
オンラインソフトでセキュリティ対策を
「パスワードをきちんと管理していますか?」
(98/10/16)
最近はコンピューターウイルスやクラッキングの話題が新聞やテレビでも取り上げられるようになったが、コンピューター関係のセキュリティ対策は、目で見えない世界だけになかなか効果的な方法や考え方をつかみにくい。そこで、オンラインソフトで行えるセキュリティ対策を4週にわたって紹介する。第1回目の今週はダイヤルアップなどでも必ず利用する「パスワード」について紹介しよう。
■ パスワードをきちんと管理していますか?
パスワードは、コンピューター、サーバー、ソフトウェアなどいろいろな場所で、それらを利用する人を限定するために付けられた文字列である。パスワードはその利用者本人を守っているという考えだけでなく、自分自身が「パスワードを付けられたシステム」を守っているという考えを持とう。それはパスワードを推測されたり、漏洩してシステムが他人に使われてしまった場合、その本人が被害にあうだけでなく、そのシステムを共有している人や管理している人にまで被害が波及するなど、その被害は計り知れないものになってしまうからだ。
パスワードを他人に教えたり、他人に盗まれないようにしなければならないということを前提に、推測されにくいパスワードの付け方と管理方法と、それを支援するソフトを紹介しよう。
■ 推測されにくいパスワードを使おう
~辞書に載っている言葉や名前は避ける~
英数字8桁のパスワードを利用したシステムには、約220兆もの組み合わせのパスワードを使うことが可能だが、実際に使うパスワードは人間が記憶可能な範囲しか使われていないことが多く、いつかは推測されてしまう程度のものと考えておいた方がいい。したがって、「パスワードは推測される前に新しいものにする」という考えが必要だ。例えば、辞書に載っている言葉やその組み合わせを使うなどの安易なパスワードはすぐに推測されてしまう可能性が高いので、短期間で新しいものに変更しなければならなくなるので利用しないほうがよい。
記憶可能な範囲で推測されにくくする方法としては、パス“ワード”だからと単語を使うのではなく、句や文(パスフレーズ)を使うと、より推測されにくくなる。例えば「This is a pen. I have a pen.」という文を例にするとパスワードの長さ制限がなければそのまま使用し、もし長さ制限があるならば、それぞれの頭文字をとり「TiapIhap」とすることにより推測されにくく忘れにくくなるだろう。さらに、英字を数字や記号に置き換えると、より推測しにくくなる。例文は「i」を「1」や「!」に、「a」を「@」に置き換えると「T!@p1h@p」となる。
もうひとつの方法としては、以下に紹介するようなパスワード生成ソフトを利用することだ。これらで生成したパスワードは、人間が推測しにくいパスワードが生成されるため、より安全になる。
「P.G <Password Generator>」
英字大小/数字/記号を使ってパスワードを生成するソフト。英字の場合は大文字や小文字のみ、両方を使用の3種類から選択できるほか、英字/数字/記号から生成するパスワードに利用したいものを選択できる。生成するパスワードの長さは3文字から128文字の間で指定可能なので、長めのパスワードを作成したい人におすすめ。
生成したパスワードはクリップボードに簡単にコピーできるほか、クリップボード経由でのパスワード入力ができない場合でも、ドラッグ&ドロップで簡単に入力するためのパスワード自動転送機能がある。パスワード生成が目的のソフトであるため、生成したパスワードの管理や保存・記憶は自分で行う必要がある。
【著作権者】YM-Software Laboratory.
【ソフト種別】フリーソフト
【バージョン】1.42(97/07/03)
□ダウンロード
http://www.vector.co.jp/vpack/browse/software/win95/util/sn053503.html
「Password Maker for Windows95」
英字大小/数字/記号を使ってパスワードを生成するソフト。このソフトの特徴として、生成するパスワードで利用する記号は「!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~」の32種類から選択することができるので、使用できる記号が限られている場合などに便利だろう。
生成したパスワードはクリップボードに簡単にコピーできるほか、パスワードをテキスト形式で保存する機能がある。すでにファイルが存在している場合は上書きせず、末尾に追加する形式で保存していくのでパスワードの履歴を保存する機能として使える。ただし、保存されるファイルは暗号化されないので、他人に見られないように暗号化ソフトを使ったり、フロッピーなどの外部メディアに保存して情報の漏洩を防ごう。
【著作権者】新濃 和規 氏
【ソフト種別】フリーソフト
【バージョン】1.2.0 (98/09/30)
□ダウンロード
http://www.vector.co.jp/vpack/browse/software/win95/util/sn083076.html
「パスワード・メーカー」
英字大小/数字/半角カタカナ/記号を使ってパスワードを生成するソフト。半角カタカナを利用できる分、パスワードを複雑にできる。ただし、システムによっては半角カタカナを利用できない場合も考えられるので注意しよう。生成したパスワードはクリップボードに簡単にコピーできる。
また、パスワードの長さは4文字から99文字まで可変長の値を選択できる。文字数を4文字から6文字までと指定した場合は、4/5/6文字のいずれかのパスワードが生成される。もちろん、4文字から4文字までと指定して固定長のパスワードを生成することも可能だ。
【著作権者】関山 浩司 氏
【ソフト種別】フリーソフト
【バージョン】2.01 (98/04/02)
□ダウンロード
http://www.vector.co.jp/vpack/browse/software/win95/util/sn069689.html
■ パスワードを一括管理しよう
~覚えにくいパスワードや複数のパスワードの覚え方~
ソフトで自動生成されたパスワードを使えば推測されにくくはなるものの、「^Ni~G2tA」のように覚えにくいパスワードとなる。このような覚えにくいパスワードも適当な語呂合わせで随分と覚えやすくなる。例えば、「^Ni~G2tA」なら「山(^)に(Ni)風(~)が(G)吹い(2)た(tA)」という具合に覚えるとよい。
また、複数のシステムやソフトでパスワードを利用している人は、それぞれ別々のパスワードを利用したほうがいい。なぜならば、すべてのパスワードを同一にしている場合、パスワードが1つ盗まれてしまうだけで、自分が利用しているすべてのシステムやソフトを他人に利用されてしまう恐れがあるからだ。
これらの語呂合わせを考えるのが面倒な場合や、複数のパスワードを覚えきれない場合は、以下に紹介するパスワード管理ツールを利用することで覚えにくいパスワードや複数のパスワードを管理できる。
「PASSWORDS MANAGER」
マルチユーザー対応のパスワード管理ソフト。パスワードを修正する際や、参照する際などには認証が必要なうえ、パスワードを保存したファイルは独自の暗号化技術を使って暗号化されているので他人に見られる可能性が低い。また、キーファイルを作成することによって暗号強度を高めることもできる。
パスワードの管理はグループ別に行え、登録できる情報はタイトル、パスワード、備考の3種類。パスワードは任意に入力できるほか、プログラム側に自動生成させることも可能。また、パスワードが適切かどうかをチェックする「パスワードアドバイス機能」を備えている。日付の組み合わせなど推測しやすい文字が使われていないかや、文字数が短くないか、同じ文字が何度も使われていないか、などをチェックすることができる。
また、最終更新日をチェックし、パスワードの変更を促す機能もある。チェック間隔は3日/毎週/2週間/毎月/任意の4種類から指定することができる。
【著作権者】FREEDOM SOFT
【ソフト種別】シェアウェア(カンパウェア)
【バージョン】3.20(97/06/14)
□ソフトリスト(「PASSWORDS MANAGER」ダウンロードページ)
http://plaza24.mbn.or.jp/~freedomsoft/freeinfo.htm#pm
「パスワード管理 kPass」
マルチユーザー対応のパスワード管理ソフト。入力する項目はパスワード、タイトルと備考だけとシンプルなので、多項目を管理する必要がない人にはこのソフトがおすすめ。パスワードは任意に入力できるほか、ソフトで生成することも可能だが、チェックする機能などはない。このソフトを利用する際には、ユーザー名とパスワードを入力してログインする必要があるので、勝手に書き換えられたり見られたりすることはないだろう。
【著作権者】川口 宏 氏
【ソフト種別】フリーソフト
【バージョン】3.01 (98/09/14)
□K窓 ソフトウェア(「パスワード管理 kPass」ホームページ)
http://member.nifty.ne.jp/h-kawaguchi/kmado/ksoft.htm
「パスワード総合管理」
複数のデータをまとめて管理できるパスワード管理ソフト。インターネットのURLやメールアドレスなどをまとめて登録することが可能。シェアウェアだが、1つのファイルに登録する項目が4個以下の場合は無料で使用することができる。
パスワードなどを記録したデータファイルを開くときは、「質問」と「答え」によるセキュリティチェックを行う。たとえば、「あなたの飼っていた犬は何ですか?」という質問とその答え「ナナ」を登録すると、ファイルを開く時に質問が表示され、答えである「ナナ」を入力しないとファイルを開けない仕組みだ。
そのほかにも、ディスクのシリアルナンバーやタイムスタンプ、ディスクのボリューム名、ファイルの保存場所が変更された場合に開かないように設定することもできる。ディスクの交換などで意図しない変更があり、ファイルが開けなくなった時のために、これらの設定をすべて無効にする「緊急時の質問」を設定することも可能だ。また、データの変更時にバックアップファイルを作成することもできる。
【著作権者】斉藤 秀夫 氏
【ソフト種別】シェアウェア \1,000
【バージョン】1.6 (98/10/05)
□秀まるおのホームページ(「パスワード総合管理」ホームページ)
http://hidemaru.xaxon.co.jp/
また、このようなパスワード管理ソフトは便利だが、パスワードが画面上にそのまま表示されてしまうことがある。これを他人にのぞかれることでパスワードが漏洩する可能性もありえるので注意が必要だ。以下に紹介するソフトは、パスワードを"*****"のように保護表示するので他人にのぞかれて漏洩する心配はない。
「QuickPass」
パスワードを保護表示した状態で管理できるパスワード管理ソフト。パスワードをマウスのクリックだけでWindowsのダイアログやNetscape Navigatorのフォームへ自動入力する機能をもっている。
自動入力させる項目は3つまで設定することができ、ダイヤルアップネットワークのように「ユーザー名」と「パスワード」の両方を入力する必要がある場合でもマウスだけで入力が可能。「QuickPass」の起動時や項目の登録/変更などを行う際にパスワードを要求できるので、他人に勝手に使われてしまうこともない。
パスワードの保護表示を解除することや、パスワードの自動生成などを行うこともできる。また、バックアップファイルを作成できるので万が一データを紛失した時でも安心できる。
【著作権者】梅村 博一 氏
【ソフト種別】フリーソフト
【バージョン】2.04 (98/10/14)
□電脳レストハウス「梅ちゃん堂」(「QuickPass」ホームページ)
http://www1.plala.or.jp/umechan/
(山崎 真裕)
