妻と私は、音楽、ビデオ、ユーティリティなど、多くの Web ページで同じアカウントを使用しています。私たちは、2 人とも同じアカウントにログインできるようにシステムを改善したいと考えています。目標は次のとおりです。
- パスワードの決定と追加へのユビキタス アクセス。
- 私たちは多くのコンピューターを使用しており、複数の場所からアクセスする必要があります。
- ソフトウェア管理ツールまたはサービスはありません。(例: RoboForm)
- 私たちは、ハッキングに対して脆弱な一つのバスケットにすべての卵を入れるつもりはありません。
- 別のコンピューターのゲストの場合は、ソフトウェアをインストールせずにアクセスする必要があります。
- 多くの秘密を覚えなくても、かなり簡単に使用できます。
- 私たちは、いくつかの数字や 10 個程度の単語のリストを記憶することができます。
私たちが打ち負かそうとしている例:
- Web サーバー上でホストされるプレーン テキスト ファイル。
- 明らかにセキュリティ上のリスクが大きすぎます。
- ログインベースのコラボレーション サイト (プライベート Wiki など) でホストされるプレーン テキスト ファイル。
- プライベート Wiki は改善され、どちらにとっても更新が容易になりました。ただし、すべてのパスワードがプレーン テキストであるため、依然として脆弱です。
- コラボレーション サイトでホストされている難読化されたテキスト ファイル。
- さて、話は進みましたが、どうやって難読化すればいいのでしょうか?
- 3 文字のパスワード プレフィックスを記憶し、その後の固有のビットのみを書き留めます。
- 誰かが 1 つのパスワードを知っていて、リストを見つけた場合、残りのパスワードは明らかです。 - ここでもっといいアイデアを。
- 3 文字のパスワード プレフィックスを記憶し、その後の固有のビットのみを書き留めます。
- さて、話は進みましたが、どうやって難読化すればいいのでしょうか?
答え1
安全を確保したい場合、ソフトウェアをインストールしなくても済むかどうかはわかりません。
個人的には、Dropbox + keepass を使用しています。Keepass はユーザー名とパスワードの組み合わせを暗号化し、Dropbox はそれらの変更をすべてのコンピューターで同期します。外出先でも (Android) スマートフォンからアクセスできます。これは本当に最高のトレードオフだと思います。なぜなら、誰かがそのファイルのコピーを入手したとしても、悪意のある人物が (少なくとも簡単には) 侵入できないほど keepass を信頼しているからです。
本当に心配な場合は、encFSを使用してクラウドドライブに暗号化レイヤーを追加できます(Windows -http://members.ferrara.linux.it/freddy77/encfs.htmlただし、外出中に資格情報にアクセスしたい場合には、複雑になる可能性があります。
私は個人的にパスワードをランダムに生成する(通常は覚えやすい組み合わせの文字を何文字か含む)ので、「パスワードのヒント」には反対です。何年も同じパスワードを使用しているものもあります。しかし、これらのサービスは通常、OTP パスワード サポートを提供しています(Gmail など)。これは時々面倒ですが、提供されるセキュリティを利用しないのは愚かです。
ソフトウェアの使用に本当に反対なら、基本認証 SSL 対応のサイトを自分でホストすることをお勧めします。ファイルがプレーンテキストであると仮定すると、公にアクセス可能なシステムで自分の認証情報を誰かに渡すことは信頼できません。(プレーンテキスト ファイルを扱う自分自身さえ信頼できません。) 基本認証はブルートフォース攻撃が可能ですが、興味深いハッキング対策テクニックが使えることは間違いありません。また、SSL により、中間者がデータを読み取ることができなくなります。自己署名証明書できた十分ですが、接続しているインターネット接続が信頼できるかどうかを確認してください。
考えてみると、もっと面白いことができるかもしれません (プロトタイプを組み立ててみたいと思います)。バックエンドのこのシステムは、暗号化されたテキスト ファイルを保存します。Web ブラウザーから開くと、メッセージ ボックスで「パスワード」(または、もっと簡単に言うとキー) の入力を求められます。このキーを入力すると、AJAX 経由でファイルが要求され、そのキーを使用して復号化が試行されます。この方法では、ファイルは「平文」で送信されますが、中間の人間は暗号化されたファイルのみを取得し、その場で復号化されます。これは、どのブラウザーでも (モバイルを含む) 動作するはずです。
答え2
常に使用するアカウント名を選択します。両者が同意します。
パスワードは次のように構成されます:
最初の 8 文字の「root」パスワードを選択します。3 文字は小文字、2 文字は大文字です。残りの文字はキーボード上の数字と記号です。
これらの 8 文字は、常にパスワードで使用されます。次に、追加の 3 文字をどこに配置するかを決定します。最初に考え出した 8 文字の先頭または末尾のいずれかです。プレフィックスにするか、ポストフィックスにするかがわかったら、その文字が何であるかを決定する必要があります。
これは、接続先の Web サイトまたはサービスによって異なります。AT&T の Web サイトに接続する場合は、元の 8 文字のパスワードに att または ATT を追加します。
こうすることで、2 人ともルート パスワードがわかります。パスワード保護の対象に固有の 3 文字が追加されることがわかっています。それらの文字がどこに配置されるかもわかっています。使用するパスワードはすべて異なりますが、覚えやすいものになります。
また、「今日 LinkedIn アカウントを作成しました」という以上のことを言う必要もありません。パスワードを書き留めたり、パスワードを共有したりする必要もありません (パスワードを定義するシステムがあるため)。また、アカウントの場所のリストをクリアテキストで保存できます。
私はこれを 15 年間続けていますが、これが原因でセキュリティ障害が発生したことは一度もありません。心配な場合は、私の資格情報をプロフィールで確認できます。
必要に応じてシステムを変更できます。常に E の代わりに 3 を使用します (単純な置換)。場所に基づく部分 (3 文字のプレフィックス/ポストフィックス) は常に逆順にするか、大文字と小文字を区別します。
私は 200 を超えるアカウントを持っていますが、パスワードはどこにも書き留めたり保存したりしておらず、一度も忘れたことはありません。
