パスワードをスマートに管理する方法

ある読者から、「デドイメド、パスワードはどのように管理していますか?」と聞かれました。この質問がこの記事の背後にあるアイデアとなり、パスワード管理に関する私の見解をお伝えしたいと思います。私のバックアップ ガイドと同様に、この記事の目的は何をすべきかを説明することではなく、ニーズに合った最適なソリューションを見つけるのに役立つことです。心理学者に行くのとほとんど同じです。より良いだけです。

そのため、私が自分のパスワードで何をしているのかについては、実際にはお話ししません。それは関係ありません。あなたのパスワードを知る必要があるのはあなただけなので、私の方法や方法はその点では役に立ちません。そのため、私は主に質問をします。わかった？私の後。

注:Tony Werman、flickr.com、CC BY-SA 2.0 の下でライセンス供与。

パスワード管理の 3 つの原則

おそらく、オンラインで何十億ものガイドを読んだことがあるでしょう。長いパスワード、短いパスワード、複雑なパスワード、オンライン ボールト、暗号化、2 要素認証など。本当に混乱するほどたくさんあります。ただし、基本的に、パスワード管理は次の 3 つに集約されます。

何を守ろうとしているのですか？

あなたは技術に精通した人ですか？

自分が死んだら自分のオンライン アカウントがどうなるか気にしますか?

リスク

結局のところ、誰かがこれらのパスワードを盗んだ場合のリスクや損害、または損害のリスクを理解していない可能性があります。それは単純なことでも、簡単なことでもありません。ばかげたメールや写真でいっぱいの個人的なメールは、誰にとってもあまり面白くないと思うかもしれません。そして真実はそうです、そうではありません。しかし、その後、その電子メールが他のサービスのパスワードを回復するために使用される可能性があります。情報が移動し、最終的にファネルする方法は非常に重要です。

注:CC BY-SA 3.0 の下でライセンス供与されたウィキメディアから取得した画像。

さらに、誰かが積極的にシステムに侵入し、データを盗もうとしていると考えるかもしれません。これは、不当な人間の重要性 (USI) 症候群の超古典的なケースであり、人々は自分の行動や身近な環境を重要視しすぎています。結局のところ、インターネットは非常にうまく油を注がれた機械化されたシステムであり、非常に多くの自動化と混沌を備えているため、誰かに侵害されるのと同じくらい、自分の愚かさ、事故、怠慢のランダムな犠牲者になる可能性があります。あなたの社会的汚名とハリウッドの期待に応える匿名の見知らぬ人.個々の hax0rz が全力を尽くしてあなたを台無しにすることを心配する必要はめったにありません。パーソナル ターゲティングは重要な人々のものであり、あなたは重要ではありません。

技術的な専門知識

ほとんどの人にとって、パスワード管理の簡単な解決策はペンと紙です。実際、考えてみれば、マスター パスワードと 2 要素認証を備えたオンライン アカウントを持つよりも理にかなっています。非技術者は、これらのツールを使用するために必要な規律に煩わされることを望まないため、これらのツールを粗末な方法で使用するため、一連の有用なテクノロジが、セキュリティに寄与しない一連の脆弱性と露出ベクトルになります。

ツールはユーザーにマッチする必要があります。 KeePass と LastPass は優れたユーティリティのように聞こえますが、Google をほとんど使用できない人向けではありません。テクノ専門用語の使用を強制することなく、一般市民がパスワードを安全に保つのに役立つ優れた方法があります。

死

最後に、期限が早すぎると、電子メール アカウント、オンライン ストレージ、クラウド、その他のものはどうなりますか?あなたの家族や友人は個人情報を取得できますか、それとも少なくともあなたの名前でそれを主張できますか?

これは、パスワード管理に関するもう 1 つの考慮事項です。確かに、63 文字のパスワードや指紋スキャンなどを使用してメールの 2 形式認証を行うことはできますが、ある意味では、悪意のあるアクセスを防ぐように設計されたツールは、家族や友人があなたの死後に情報を取得することも防ぎます.あなたの電話が指紋スキャナーを使用している場合、他の人はロックを解除できません。彼らはパスワードを知っていますが、知っているわけではありません.

注:CC BY-SA 3.0 の下でライセンス供与されたウィキメディアから取得した画像。

したがって、考慮事項には、ほとんどの人が考えたくないシナリオ、つまり死についても含める必要があります。二重および三重暗号化の使用方法、外部ボリュームのマウント方法、ここでサインインする方法、そこにサインインする方法などを指示するために近くにいなくても、個人データを愛する人に確実に転送できますか.

死のシナリオの拡張は、パスワードを記憶する能力です。 29 の異なる Web サイトの 29 の異なるパスワードを確実に覚えて、オンラインで読んだベスト プラクティスのいくつかを妥協することなく実際に使用できるでしょうか?

ほとんどの人はできません。そのため、多くの場合、単一のパスワードを使用します。リスクと露出の問題、およびセキュリティやプライバシーが侵害された場合に何が起こるかという問題に戻ります.だからこそ、これを適切に処理する方法を議論する必要があります。

実際の適切なアドバイス

すべてを考慮したので、インターネットが提供するものを見てみましょう。パスワード管理のヒントとコツのほとんどは、以下を中心に展開されます:

複雑で推測しにくいパスワードを使用するか、長くて覚えやすいパスワードを使用してください。

二要素認証を使用します。

パスワードを再利用しないでください。

パスワードを頻繁に更新します。

ログイン時に安全な接続を使用してください。

それらが基本です。これらは、特定のユース ケースに適用しなければ意味がありません。他人の行動をコントロールすることはできません。誰かがあなたをハッキングしたいかどうかを決めることはできません。また、システムが侵害されないことを 100% 保証することもできません。ただし、リスクとニーズを評価し、それに応じて作業することはできます。

さらに、考慮すべき別の側面があります - ダメージコントロールです。 3 つのビルディング ブロックの 1 つが何らかの形で危険にさらされた場合、問題をどれだけ迅速に封じ込めたり排除したりできるでしょうか?ここでも、考慮事項はインシデントの前、最中、後に何が起こるかを中心に展開します。また、パスワードを保存したラップトップにコーヒーをこぼしてしまい、パスワードを取得できなくなったというインシデントが発生する可能性もあります。

ダメージコントロール

わかった。パスワードを信頼できる方法で使用できるようにしたいと考えており、他のユーザーが自分の許可なしにパスワードにアクセスできないようにしたいと考えています。理にかなっていますよね？これは、すべてのタイプのユーザーとすべてのタイプのデータ機密性に当てはまります。

不正アクセスを防ぐには、パスワードを安全に保つ必要があります。現在、パスワードを保管できる主な場所は 2 つあります - オフラインまたはオンラインです。オフラインとは、コンピューター上ではないことを意味します。つまり、あなたの頭、紙片、または切断されたコンピューターであり、オンラインとは、ネットワークからアクセスできるコンピューター上のことです。後者の場合、純粋に技術的な観点から言えば、インターネットからパスワードに到達する可能性があります。それは難しい作業かもしれませんし、その可能性は低いかもしれませんが、統計的には実行可能です。

パスワードをデジタル形式で保存したい場合は、保護する必要があります。これは、パスワードを肉眼から隠す何らかのメカニズムを使用する必要があることを意味します。誰かがディスクを盗んだ場合、データは無意味になります.これは暗号化を意味します。これは、技術的な専門知識と死後の合併症を意味します。

さらに、データを安全に保っていたとしても、入力端末 (ラップトップ、携帯電話、またはその他のデバイス) は理論上、データを失うことなく危険にさらされる可能性があります。最悪の場合、純粋に技術的な観点から言えば、キーロガーがインストールされていて、パスワードを賢く管理していても、キーストロークが傍受され、他の誰かがあなたのオンライン アカウントにアクセスできる可能性があります。

注:CC BY-SA 2.0 の下でライセンス供与されたウィキメディアから取得した画像。

これは、パスワードの管理方法ではなく、おそらく自分のコンピューターが最も弱いリンクであることを意味しますが、その部分についてはすぐに説明します.コンピューター セキュリティはまったく別のトピックであり、過去にも取り上げました。この場合、パスワードに固有のものは何もありません。なんらかの方法でリソースを誤って管理すると、データ リークが発生します。これは、フィッシング、愚かさ、怠惰、ランダムながらくたのインストールなどである可能性があります.パスワードは、失われる可能性のある多くの潜在的なデータの 1 つです。したがって、あなたがする必要があるのは、マシンを安全に保つことです.それと同じくらい簡単です。がらくたがなければ、ハエはいない、と祖父はよく言っていました。そうではありませんが、それは良いことわざです。

しかし、本当にそれができない場合、次の質問は、誰かがあなたのパスワードを知っていたらどうするかということです。答えは 2 要素認証です。これにより、データの半分が役に立たなくなります。しかし、この方法は面倒です。高度なユーザーである必要があり、その後、テクノロジーが制限要因になります。電話を紛失した場合はどうなりますか？あなたが死んで、あなたの家族がこの新しい認証方法を理解できなかったらどうしますか?ご覧のとおり、オンライン データ アクセスに関する限り、次のものがあります。

オンライン --> 平文 | 暗号化されたパスワード --> キーロギング
--> 二要素認証

オフラインについてはまだ議論していません。現在、パスワードを書き留めないという古いセキュリティ慣行は、オフィスや企業環境にも当てはまります。ホームユーザーにとっては無意味です。誰かがあなたの家に侵入したとしても、ランダムな紙切れはおそらく気にしないでしょう。あなたが標的にされていない限り、それは非常にありそうもないシナリオです.

したがって、自分のことを書き留めることは実際には良いことです。非常に長いパスワードを使用でき、友人や家族とパスワードを共有でき、技術的な問題は少なく、インターネットから紙のノートを盗むことはできません。この方法ではコンピュータのセキュリティ部分が修正されないため、次のようになります:

オフライン --> キーロギング --> 二要素認証

ロジックが 2 要素認証を指していることがわかります。これは、大多数のユーザーを確実に実装するのに十分な知識がないため、実際には除外されています。また、死後の使用も複雑になります。だからこそ、しっかり考える必要があります。あなたはもっと何を恐れていますか？オンラインハッキングか、それとも自分の死か?マルウェアや健全な遺産を後世に残すことに関心がありますか?

サーバー側のゲーム

ここまでは、ホーム ピースについてのみ説明してきました。しかし、そのコインには 2 つの側面があります。あなた自身の、そしてあなたがログインしているサーバー。そして、これはまったく新しい範囲の質問と問題と可能性を開きます.実際、サーバーのハッキングは、個々のターゲットに労力を浪費するのではなく、数百万とまではいかなくても数千のパスワードを一度に収集できるため、はるかに有利です.最近ニュースでよく目にするのがこれです。適切なセキュリティ対策を実施していない大企業とのデータ侵害。

繰り返しますが、スキーム全体を部分的にしか制御できません。安全な (HTTPS) 接続を介してログインしていることを確認できますが、特に携帯電話などでは、常にこれを認識しているとは限りません。さまざまなベスト プラクティスに従うことはできますが、企業のハッキングなどを防ぐことはできません。

これが、ダメージコントロールの問題に戻る理由です。データベースがハッキングされ、そのすべてのユーザーが危険にさらされた場合、パスワード管理ポリシーによってどの程度の追加リスクが発生しますか?したがって、すべてのオンライン アカウントに同じユーザーとパスワードを使用する場合、技術的には理論上、これらの資格情報が公開されると、誰かがあなたのすべてのものにアクセスできるようになります。ユーザーと同様に異なるパスワードを使用することは理にかなっています。非個人的なエイリアスも匿名化に役立ちます。そして、これらのユーザー名をどこに保存しますか?オンラインかオフラインか？振り出しに戻ります。

注:CC BY-SA 3.0 の下でライセンス供与されたウィキメディアから取得した画像。

上記のすべては、パスワードの強度や覚えやすさとは何の関係もありません。彼らは皆、データ侵害の最終的な結果と、そのようなインシデントの前、最中、後に何ができるかについて議論しています.なぜこれが起こるかについての理由を忘れてください。それは起こります。重要なのは、損害を最小限に抑えるために何をしたか、問題が進行している間に何ができるか、問題が修正された後に何をすべきか、ということだけです。

賢ければ、チェーンの最初のリンクにできるだけ多くのエネルギーを投資します。行動が早ければ早いほどコストが安くなるためです。準備をしっかりしておけば、問題があってもあまり気にならないかもしれません。

クライアント側では、スマートなセキュリティを意味するため、データの侵害について心配する必要はありません。皮肉なことに、ハッキングされる可能性が低い人は、ハクソロジーの可能性を最小限に抑えるように設計された方法である 2 要素認証を使用する可能性が高い人です。

最終的には、オフラインまたはオンラインのパスワード ストレージの選択と、サーバー側の問題が発生した場合に被る損害を最小限に抑えることを意味します。つまり、さまざまなオンライン アカウントに異なる名前とパスワードを使用してください。面倒だけど、街を歩き回って自分のアイデンティティをみんなに宣伝するの？いいえ。では、なぜそれをオンラインで行いたいのですか?

要約すると、特効薬の解決策はありません。

すべて覚えておいてください

しかし、パスワードはセキュリティに関するものではありません。部分的にはい。しかし、それらを適切に管理するためのはるかに重要な理由があります。あなた自身の脳。それらを忘れたら大変なことになります。見つけられないほど深い場所に埋めてしまったら、大変なことになります。あなたが死んだら、それはすべてなくなります。

実際、セキュリティは概念として非常に過大評価されています。これはオンラインの世界の一部ですが、日常生活で性感染症にかかる理由がないのと同様に、マルウェアをいじる理由もありません。分別を持って、Web のその側面を避けることができます。繰り返しますが、コンピューティングのパラドックスです。このアドバイスが必要な人は、この記事を読んでいるわけではありません。スクロールして、自分がすでに行っていることの肯定を楽しんでいるオタクだけです。

だからセキュリティ。人々はそれに多大な投資をしていますが、もっと差し迫った問題があります。データのバックアップのように。ハッキングされる可能性は？低い。ハードディスクを紛失する可能性はどのくらいですか? 100%。これは人々が忘れていることです。

パスワードの場合も同じです。あなたはそれらを忘れるでしょう。あなたはそれらを置き忘れます。あなたが死んでしまう。したがって、それらを便利で実用的なものにしてください。そして、これは実際には元の要求に対する答えです。パスワードを賢く管理するにはどうすればよいでしょうか。

そして答えは - 私は持っていません。検討の原動力となるのは、パスワードが必要になったときにパスワードを忘れないようにするにはどうすればよいかということです。つまり、脳細胞の内部であろうと、どこかの古い壊れた紙であろうと、それらを見つけることができるということです.

複雑なパスワードと長いパスワードの議論が頭に浮かびます。確かに、hax0ry のパスワードを設定するのは非常にクールですばらしいことですが、実際には、人間の標的にされない限り、長く覚えやすいパスワードを設定することは、統計的にも数学的にも、大多数の人々にとってより賢明なアプローチです。彼らは歌の歌詞や場所などを簡単に覚えることができますが、オタクが彼らに課す大文字と小文字の特殊文字のナンセンスをマスターすることはできません.

副次的な利点は、パスワード管理プロセスが楽しいものであれば、人々がそれを守り、ある程度の規律を維持する可能性が高くなることです。お気に入りの映画を選んで、リストを書いて楽しんでください。シンプルで効果的ですね。また、パスワードの遺産を確実にするために独自の方法を見つける必要があるため、私はこれを支持していないことを覚えておいてください.

パスワード管理のトライアングルを決して忘れないでください。危険。テクノロジー。死。あなたの歌は高くて強力かもしれませんが、隠しフォルダー内の pr0n.txt という名前のファイルに保存したことを誰も推測できない場合、それらは意味がありませんよね?

結論

ご覧のとおり、これに不満を感じているかもしれませんが、特定のアプリやテクノロジーについて言及せずに、この記事を終了します.これは、アドバイスを与えることはとても簡単であり、あなたがそれを適用しなければならない場合、それは何の意味もないからです.ことわざのシュリンクのように、必要なツールを提供する思考と推論の黄金のレシピで武装したパスワード管理の青いボールをいくつか残します.

3 つの重要なパラメーターに基づいて状況を評価します。オッズがわかれば、最も弱いリンクがわかります。最初に強化してから、はしごを上ってください。それが起こることを期待して被害を最小限に抑えます。無意味なセキュリティの印象的で無意味な要塞を作成するのではなく、テクノロジを使用して自分と家族を支援してください。あなたはあなたが思っているほど重要ではありません。そして、セキュリティ フォーラムにアクセスしすぎているため、それらすべてを無視しています。

これをまとめると、特に異なるアカウント名とパスワードを使用する場合、パスワードの管理は少し手間がかかりますが、持続可能な方法で行うことができます.あなたの人生の期待、テクノバブルのスキル、そして気まぐれ、好奇心、大胆さ、愚かさ、そして単純なディスク障害ですべてを失うリスクに一致するものを見つける必要があります.完了です。あなたが望むなら、私を憎んでください。 XYZ 2.0 や MyP@ss 17.3 を使用するなどのアドバイスが必要な場合は、他の場所を探してください。私たちは考え方を学ぶためにここにいます！終わり。

追記脳の記憶画像はパブリック ドメインです。

乾杯。