PWGenでのパスワード生成
適当にキーボードを打ってランダム(?)なつもりのパスワードを使っていましたがルールがサイトごとに様々でかつ打ち方の偏りなどを消すためPWGenというマルチプラットフォームのツールを導入しました。
たとえば、Amazon.co.jpについては最大長(128文字)かつ記号込み(<AZ><az><09><symbols>)に変更、WiFiのWPA2-PSKは63文字(<AZ><az><09>)で生成することにしました。Amazon向けの例は以下のとおり。
~Y3Jfm=UGPK0e6M2}*zEtFtf~ch5$,QwZ~_F'JAX=|dLzc?B]$P#ze^*'g&S?8B#S.%hlF_-lW<eoh}Y>h$rBo^U$)RBmJNOP^o~7(w{Ex7$&4L_BL\%}1G5sh\-@6~k
こんな長く覚えられないものをどうやって管理しているかは秘密です、根性ということにしておいてください。が、すべて半年以内で変更しています。きっかけはWiFi APを設定していて出荷時のパスワードがやたら短い上に大文字小文字数字のバラツキが思ったよりも小さい点が気になったからです。BuffaloにしろNECにしろ複数台購入していると類似性に気づいている方も多いのでは無いでしょうか?SSID隠蔽やMAC Address制限しても無意味という点については認識されてきているとは思いますがPSKのバラツキが小さいと総当たりで当たってしまう危険性が高くなるのが心配です。
Linux等(下の例はGowというWindows版使用)で使えるbcコマンドでざっと組み合わせを計算すると以下の通り。<AZ><az><09>の文字数は26+26+10通りで合計62通り。
D:\>bc bc 1.06 Copyright 1991-1994, 1997, 1998, 2000 Free Software Foundation, Inc. This is free software with ABSOLUTELY NO WARRANTY. For details type `warranty'. length(62^8) 15 length(62^63) 113 length(62^128) 230
記号は別枠とすると通常の8文字で15桁、WPA2-PSKの63文字で113桁、Amazonの128文字で230桁の組み合わせが作れます。1回の試行に1msec掛かると想定して半年間では1000*3600*24*180=15552000000でlength(last)=11桁となりました。完全にランダムならば8文字もあればmsecオーダーの攻撃には耐えうる可能性(平均で当たる確率は1/10000なので0.01%程度)があるという計算にはなりますが超並列などusec未満での攻撃を食らうと全くマージンはありません。
Webでのログインについてはパスワード強度だけに頼るのでは無く2段階認証がもっと普及してくればいいのですが現状ではネット企業(はてなは非対応)の他は銀行・証券ぐらいです。米Amazon、2段階認証を導入(http://www.itmedia.co.jp/enterprise/articles/1511/20/news059.html)によるとUSのAmazon.comがようやく今年11月に開始したばかりで通販サイトは対応が遅れていると思います。