パスワードは覚えやすく忘れにくく
~お肉食べたい100ドル分!
オフショット
コンピュータの話
師匠
トミー
アイ
目次
- フリーWi-Fiに潜むわな
- Wi-Fiだけがリスクなの?
- 覚えやすくて攻撃されないパスワードを考えよう
D404MEのボックス席。いつものトミーさんが遮二無二ノートパソコンのキーボードを叩いています。
えっ?当店は一応Wi-Fi完備ですが、店のWi-Fiを業務に使うのは店としては構わないけど、トミーさんの会社のセキュリティ上どうかなぁ?
とりあえずトミーさんにはノンアルコールをお出ししましょう。
フリーWi-Fiに潜むわな
(カタカタ…)
よーし、売上データまとめちゃうぞー。クラウドにアップしとけば課長も大喜びだ!
(ひょっこり後ろから)
ふふふ…それ、私の目にもバッチリ見えてるわよ♡
(※実はアイちゃん、近くのルーターのトラフィックを傍受できる)
へっ!?暗号化されてるから安心って聞いたのにーっ!?
うちのWi-FiはWPA3暗号化済みの閉域LANでユーザーに公開されてるけど、同じWi-Fiに接続して平文で通信してる情報は見ることができる場合もあるんだよ。あとさ、トミー、そのアクセスポイント本当にうちのやつ?
実はSSIDを同じにした偽アクセスポイントだって存在するかもしれない。自動接続になってたら気が付かないよ。まぁ、それだとアイちゃんは覗けないだろうけど。
トミーの会社のシステムhttpsだけど証明書が無いわね。こういうの危ないのよ。
トミーが毎度この店で繋いでるなって攻撃者がわかっていれば偽サーバは簡単に立てられるし、トミーもそれが本当に正しい相手か検証する手段がないの。DNSも偽装できるからアドレスバーの表示が合ってても本当にそこにつながってるかはわからない。
httpsで始まって「暗号化」されて安心なのは「途中で情報を抜けない」だけで、相手のサーバが違うのなら簡単に情報を抜くことができる。
怖いこというなよ。飲みながら仕事できたら楽しいし、この店Wi-Fiあるから幸いと思ったんだけどなぁ。
喫茶店とかも危ないんだろうな。
Wi-Fiだけがリスクなの?
PC使って機密書類開いてる状態で後ろから覗き見されたり、お酒パソコンにこぼしたり、酔って電車に忘れてくるリスクもあるからな。
実は昨今だとUSB充電も危ないんだ。うちの店は電源だけUSBで提供してるけど、USBはデータの通信できるだろう?店の側に通信できる仕掛けをしていたら、トミーのパソコンの中身が・・・って可能性はなくもない。
そんなこともあろうと、じゃじゃーん「USBコンドーム」これは電気だけ頂いて無用なデータはカットするんだ。子種はいらないが快楽はそのままってやつだ(笑)
あれ、トミー、そのコンドーム穴空いてるわよ。粗悪品買ったでしょ?
今のUSBケーブルってお互いの機器が通信して最大電圧や電流値を決めてるのよ。だから粗悪なものを買うと最悪ケーブルが燃えたり繋いだ機器が壊れたりするの。
なので「付属の充電器やケーブルを持ち歩いて使う」のがリスク低減になるのよ。
ドコモやAUみたいな携帯電話ネットワークは比較的安心ではあるけど、今は偽基地局を使ってスパムを送りつけるなどという話も度々聞くので、必ずしも安心ではない。
もちろん携帯電話のネットワークを使うと「ギガ」が減るよな。だから公衆Wi-Fiを使いたい気持ちもわからないでもない。
だから攻撃者はその隙を狙ってくるんだよ。攻撃というか、機密データを抜いたと思わせるようなメールを投げる相手を見つけるだけでもいいんだ。本当は職場で禁止されてることをやった自覚があれば金払うかもしれないだろう?
アイちゃんがオススメなのは、職場のパソコンにリモートを繋ぐ方法ね。VPNって仕掛けだと通信内容は暗号化されるし、Wi-Fiや携帯回線からの漏洩は基本的に考えなくてもいい。
でも、今度はVPN接続のパスワードが大事なのよ。パスワード保存で自動接続なんてことだったらトミーがトイレに立ってる間に職場のネットワークに侵入したり、パソコンの情報盗むのもウイルスやマルウエア送り込むのもできちゃって大問題になるかも。
もっと簡便なChromeリモートデスクトップとかだと、職場のネットワークには繋がない分安心だけど、こんどはGoogleの認証を二段階とか厳しくしておかないと。
それでも直接持ち歩くパソコンの中でデータ作るよりはかなりマシじゃない?
結局は、外で仕事するならどんなに通信を完璧にしても後ろから覗かれたりパソコン盗まれたらどうにもならないから、どうリスクを教えるかなんだろう。安く簡単なら流されて接続しちゃうもんな。
覚えやすくて攻撃されないパスワードを考えよう
ところでさぁ、トミー、そのパソコンにペタペタ貼ってある付箋なに?パスワードじゃない。こんなところに貼ってたらパスワードの意味がないでしょ!
いやさぁ、アルファベットの大文字小文字、数字に記号2種類以上みたいなこと言われたら覚えられないよ。しかも毎月変えろって。ブラウザやGoogleが覚えてくれても変更を追ってくれないからさ。
あはは。特に指定がなくて長いパスワードで良いのだったら、「長くて意味のあるフレーズ」ってのが個人的にはオススメだよ。
たとえば
「OnikuTabetai100$Bun!」(お肉食べたい100ドル分)
20文字の意味があるワードだけど、個人情報でもないから推測されるワードではない。ちゃんと大文字小文字数字記号はいってるだろう?
で、1月ごとにパスワードを変えろというなら100$を102$103$・・・って変えていくだけでもいいし、翌年はお肉をお寿司とか別の食材に変えてもいいかもね。
本当は1万円にしたいんだけど、パスワードの制約で「¥」が使えない場合とかもあるからな。
気をつけなきゃいけないのは辞書攻撃があるから個人に近い情報はつかわないこと。ただ20文字を正確に当てるのは難しいよね。
トミー「aiChan!SukiSuki1000%」とかでもいいのよ♪どうどう?
パスワードに彼女の名前を使うと別れるジンクスって聞いたことがあるぞ(笑)
それ以前に実は近しい人の名前は避けたほうがいいんだ。
・SNSで彼女の名前がわかる可能性があるから推測されやすい(とはいえ20文字あれば・・・)
・情があるので変更しにくい、変更しないことも多い
なにより
・画面見られたときに暴露される(****ってなってると思ったら表示モードになってたとか)
イニシャルと出会った日とかにしておいたらいいかもね。
あははは。たしかにそれはいいな。でもさ、同じパスワード使い回さないほうがいいだろう?どのサイトがカツ丼だっけ?牛丼だった?とかなるのも嫌なんだよな。
あとさ、今更8文字しかパスワード設定できないとか記号は不可とかいうサイトとかもあるんだぜ。
なるほどな。パスワード文字数制限がないサイトだと
「OnikuTabetai100$Bun!Yah」(Yahoo!)
「OnikuTabetai100$Bun!Goo」(Google)
とか、最後に3文字そのサイトの名称を入れるとかは僕もやってるよ。これだとパスワード使いまわしても他のサイトでは認証できない。
あと、短縮しかダメなところは
「Oniku10$」とか「Oniku100」とかにするしかないかなぁ。もうめったにそういうサイトはないと思うけど。
なるほどそれなら覚えられそうだ。じゃあ、その子ちゃんをメインにして、身長とスリーサイズで作ろう!
えっ?趣味が悪い?オレしかつけないパスワードだろう?
ダメに決まってるでしょ!?身長とかスリーサイズって……それ、パスワードじゃなくて下心の暗号じゃん。最悪!
まぁでも、推測困難って意味では確かに強いけどな。ただし倫理的に超アウトってだけでな。人に言わないで使う分にかまわんが、間違ってもパソコンに貼るなよ。クビになるぞ(笑)
もちろんPC関係やパスワードのセキュリティはこの話だけでなく様々ありますので、鵜呑みにせず対策ください。
ガソリン減税で電気自動車はどうなる?
同じカテゴリの記事
師匠の体重を減らそう2025-2026
