いや「暗証画像カード」はないわ

いや「暗証画像カード」はないわ

【提言】Heartbleedが求める緊急対応、文字パスワードを賢く使うために | IT Leaders

いや,「暗証画像カード」はないわ。海外からも注目されているというのも俄には信じがたい。これのどこがこれまでのパスワード方式よりいいというのだろう。分からん。

パスワード方式の問題のひとつ(そして最大の問題)は遠隔の相手と秘密情報を共有しなければならない,という点だ。この点をクリアできない全ての認証方式はパスワード方式より優れているとはいえない。

でも現実はパスワード方式で認証させるサービス・プロバイダが殆どなので,パスワードの強化と安全な管理の両立を目指すしかない。それにはもう人間の記憶に頼るのは無理なのだ。(だから「暗証画像カード」は「ない」のよ)

というわけで,例によってパスワード管理ツールの利用をお薦めする。個人的にはオープンソースの KeePass がお薦めである。

参考: パスワード変更は計画的に -- Baldanders.info

実は,相手に秘密情報を与えずに安全に情報をやりとりする方法は1970年代から存在する。それが「公開鍵暗号(public-key ciphers)」だ。そして私たちは既に日常的にそれを使っている。 SSL/TLS は認証方式にこの公開鍵暗号を使ってる。 https で相手にアクセスする際にパスワードを求めたり求められたりしないでしょ。でもちゃんと相手を正しく認証できてるのはこれのおかげ。あと UNIX 系ではリモートマシンとの接続方法に SSH/OpenSSH というのがあって,これも公開鍵暗号を使って認証を行う。相手にログインするのにパスワードを打つなんてもう古いのだ。

この辺の暗号周りに興味のある方は是非 Steven Levy の『暗号化』(原書のタイトルは “Crypto”)を読んでみることをお薦めする。

元職業エンジニア。現在は無期休業中 Home: https://baldanders.info