サーバいじくり雑記

2013年7月30日

Webサイトパスワード管理 PwdHashという一つの答え

Filed under: セキュリティ, ソフト, Web — bompopo @ 10:28 PM

最近Webサービスのパスワードの設定とその管理について騒がしいようです。なにやら、
 「パスワードの使い回しはしないこと」ー>正解!
 「パスワードは単語の組み合わせではなくランダムな文字列、できれば特殊文字入れて作る」ー>正解!
 「パスワードは定期的に変更する!」ー>不正解!
 「パスワードは長ければいい!」ー>不正解!(まぁ長いことに越したことはないけど、だから安心ってわけじゃないYO)
 etc….

上記正解ではあるけど現実問題としてサイト別にそれをちゃんと設定して管理するのは一般人はもちろんセキュリティリテラシの高い人でも無理か超面倒。
私もサイト毎にランダムな文字列を最大文字数で設定してきたのですがさすがに限界を感じてきていたり。パスワード管理ソフト使えばいいって?いえいえ実はそれも実際使ってみると、便利さも労力もテキストファイルに直接書いておくのとたいして変わらんのです。それにフィッシングにはほぼ無力だしね。

という前置きで、それらを解決してくれるPwdHashというソフト(ブラウザアドオンorサービス?)をご紹介。

このソフトは入力したパスワードを対象サイトのドメイン名と組み合わせてハッシュ化したものをそのサイトで使用する新たなパスワードとするものです。
ログインフォームに渡されるパスワードをドメイン毎に一意にでき一方向ハッシュなので入力するパスワードの使い回しができるのです!すばらしすぎる!

・パスワードをサイト毎に用意しなくていい!
 ー>シンプルイズベスト! hash(好きな使い回しパスワード+ドメイン名)= Webサイトに入力されるパスワード
・万一Webサイト側でパスワード漏れても他のWebサイトのパスワードは変更する必要無し!
 ー>だってWebサイト毎に違うパスワードだもん!!漏れたサイトだけ違うのにすればOK!
・フィッシング対策になる!
 ー>ドメイン名をハッシュ化のタネにするのでフィッシングサイトに入力してしまっても実際に渡るパスワードは全く違うハッシュ値になる!
・キーロガー対策になる!
 ー>これは副次的な機能ですが、このアドオンはJavaScriptの前に実行され、キー入力時にブラウザに実際のキー入力値と違う値を渡します。
   WebサイトのキーロガーはJavaScriptでキー入力をフックしているのが一般的なのでキーロガーがブラウザで動いていても実際のパスワードはロギングできないのです。

素晴らしい!!

と、いいことばかり書きましたが、注意点を。
・Webサイトに入力されるハッシュ化済みパスワードの文字列長は、「キー入力したパスワード文字数+2」になるみたい。
 短いパスワードはいくらランダムな文字列だとしても好ましくない。覚えやすいものでもある程度長さのあるものを使いましょう。
・入力するパスワードはコピーした文字列を貼り付けはできないですよ!
 これはイタい仕様なのですが必ず実際にキー入力しなければなりません。なので、1項目目でも書いた通り覚えやすくある程度長さのあるパスワードを使いましょう。
・生成されるハッシュ化済みパスワードの文字種は入力文字種と同じ
 つまりWebサイトのパスワードが半角英数字しか使えない場合はタネとなるパスワードも半角英数字のみになる。
 (このパスワード問題が多く記事になる昨今に半角英数のみというサイトが大半を占めるのは頭がイタい問題ですよね。なんで特殊文字禁止するんだよ)
・稀ですが、パスワード設定のドメインと実際のログイン時のドメインが違うサイトがありますが、その時は手動でログイン時のドメインで生成したハッシュ化済みパスワード設定します
 それはリンク先にもあるWeb版のハッシュ化のツールを使って生成します。

■さて、次に使い方ですが、超簡単!
私が試したのはいつも使っているFireFoxとChromeですが、リンク先にアドオンが用意されているのでそれをインストール!

使いたいサイトのパスワード入力項目でF2を押すか「@@」を入力するとPwdHashモードに入り以降のその入力項目でのキー入力はPwdHashの管理下になりますので、パスワードを入力します。

それだけ!あとはその入力項目からフォーカスが外れた時(次の項目に行った時や確定ボタンを押した時とか)にPwdHashがフォームにハッシュ化済みパスワードを入力してくれます。

最初に利用Webサイトにパスワードを再設定する手間はありますが、それを補ってなおお釣りが溢れんばかりの恩恵があります!ぜひ利用のご検討を!

広告

コメントする »

まだコメントはありません。

RSS feed for comments on this post. TrackBack URI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。