物理的なノートに書かれたパスワードを保存する方法は?
「 LastPassのようなパスワードマネージャーはどのくらい安全ですか? 」という質問への回答は、個人のパスワードを物理的なノートブックに保存するのが妥当なオプションである可能性があることを示唆しています。
パスワードセーフを使用せず、代わりに難読化された形式のパスワードが記載された物理的なノートブックを持っている人がいます。 このノートブックは明らかにマルウェアに対してはるかに安全です...紛失/盗難のリスクが高いかどうかは興味深い質問です。
明らかに、一枚の紙はマルウェア攻撃に対して安全です。
要件は、資格情報へのオフラインアクセスです。たとえば、すべての銀行、店舗、ウェブサイト、コンビネーションロック、住所など、あらゆる場所からアクセスできるようにする必要なすべての詳細に関するセキュリティの詳細をすべて記述した小さなノートブック世界で。
また、ノートブックでパスワードを検索する方が簡単な場合があります。出張が多い場合は、パスワードマネージャーアプリを使用してスマートフォンにパスワードを保存できます。ただし、これは携帯電話を常に充電して動作させる必要があることを意味し、別の障害点が追加されます。
ここで、ノートブックの紛失、盗難、破壊、またはその他の物理的な危害の可能性を無視して、1つの質問に焦点を当てます。
(最初の引用で述べたように)パスワードを難読化して、ノートブックを一目で見られる誰かが簡単に解読できないようにしますか?
一方、ノートブックの所有者が自分のパスワードをほとんどすぐに解読できるように、アルゴリズムは十分に単純でなければなりません。
ボーナス質問:
そのようなアルゴリズムは、ここに情報セキュリティで投稿されていても、多かれ少なかれ安全であると考えられるか、またはobfuscationは常にobcursityによるセキュリティを意味します(すなわち、アルゴリズム自体を秘密に保つ)?
仮説的な攻撃者が少なくとも数時間ノートブックにアクセスできたとしても、パスワードを解読することが不可能または不可能であるような方法で難読化アルゴリズムを設計できますか?それとも、所有者が自分のパスワードをすばやく解読できるという要件に自然に矛盾するのでしょうか。
複雑さの増加のおおよその順序(notセキュリティ、およびメソッドを組み合わせることができます)で、パズル/コードの記述/数学に慣れている人なら誰でも簡単にできるアイデアをいくつか紹介します。より完全なアイデアは以下のとおりです。注意:私が「秘密」と言うとき、私は本に書かれていないことを意味します。これらはすべて簡単で、カジュアルな泥棒を阻止するのに最も役立ちます。
- すべてのパスワードに共通する、記憶された秘密の要素を持っている。 *
- マイナーバリアント-ウェブサイト名/ユーザー名から簡単に派生する秘密の要素。
- 本にtoo much情報を入れます。実際には、各パスワードの最初の4文字を省略していることを知っています。*
- 一定のエントリ数でアカウントとパスワードをオフセットします。 *
- 完全なユーザー名を書くことは絶対にしないでください。
*これらのアイテムには重大な脆弱性があり、難読化が1つのエントリに対してクラックされると、それ以上すべてのエントリに対して自動的にクラックされます。
exactアルゴリズムが公開されている場合、明らかにログイン試行をスクリプト化できるノートブック泥棒(またはもちろんチーム)がアルゴリズムを自動的に適用できます-または公開されているすべてのアルゴリズム。アルゴリズムのtypeを公開できます。次に例を示します。
- 書かれているパスワードから、最初の数字xと2番目の数字yを呼び出します。
- 最初の句読点(または最初の文字、または最初の数字)から数えますx文字。
- 次に、次のy文字(または前のy)文字の大文字と小文字を入れ替えます。
- 記憶された4桁のPINの場合、最初の4文字をピンの番号で増やします(例:
1234に適用されますa!bcdはb!dfh)。
もちろん、次のことができます。
- xとyの意味を入れ替えます
- インクリメント/デクリメントxおよびy。
- 最初から数えます母音。
- y子音のケースを入れ替えます。
- 数字をアルファベット位置で対応する文字に、またはその逆に置き換えます。
- 同じキーの句読点の数字を入れ替えます(遭遇するキーボードレイアウトに自信があるか、自分のキーボードをよく知っている必要があります)。
これらすべての操作は、定義により、スクリプト化できます。しかし、ノートブックの泥棒は、これらを実装するスクリプトを取得(または記述)する必要があります(実際には、シークレット要素がなくても、かなり可変的なスペースです。次に、パスワードを入力する必要があります(ランダムにエラーが発生しやすいプロセス) -生成されたテキスト)、リストに対してスクリプトを実行し、サイトごとに数千のパスワードを使用してログインを試みます。数回の試行が失敗した後、サイトがロックアウトしないようにしてください。
本がなくなった場合にパスワードを変更する必要のあるサイト/アカウントにフラグを立てる必要があるサイトのリストとして、本のバックアップコピーでなくてもバックアップリストを保持することは価値があります。
多くのセキュリティ対策と同様に、目標は侵入に多大な労力をかけることでなければなりません。手動の作業とスクリプトによる作業を組み合わせると、それに向けてかなりのことを行い、あきらめる可能性が高まります。
私はこの目的のために言語を作成しました。記号はどれも英語のようには見えません(他の言語のように見えるかどうかはわかりません)、スペースがなく、いくつかの文字が欠落しています。一般的なパターンは単一の記号(dis、ingなど)になり、簡単にデコードできません。上から下、右から左、線のないグリッドで、ゴミ箱を使って各線をパディングしました。
保管方法に応じて、最後の文字の配置を調整するシフトコードホイールも使用します。最後に使用した文字がh(ケースレスシステム)のようなものである場合、次の文字コードホイールに7を追加します。ゴミ箱のページのコードホイールを含めると、攻撃者をさらに混乱させることができます。ページごとに複数のコードホイールを作成し、数値を好きなようにシフトできるため、簡単な攻撃を防ぐことができます。別のオプションは、コードホイールをオーバーラップすることです。怠惰な場合は、PINのように+ 5、-2、+ 3、6のような数字パターンを使用できます。
マスクを使用してください。
いいえ、真剣に。事務用品やホビーストアから入手できる中程度の厚さの段ボールのようなものを使用して、サイズが30x6のキャラクタースロットのリジッドグリッドマスクを作成し、ランダムに配置された穴を40から50キャラクター分切り取ります。 (必要に応じて、異なる次元を選択することもできます。)
パスワードを書き留めるには、マスクをノートブックの上に置き、最初の2つの穴からパスワードの長さを書きます(または、常に「これがパスワードの終わりです」という意味の特殊文字を選び、最後に書きます代わりに)必要な数だけ、残りの穴(縦または列ごとに最初に選択)を介してパスワード自体を繰り返します。完了したら、マスクを削除し、残りのすべての文字スロットにガベージ文字を入力します。ランダムであるほど良い。これを簡単にするには、パスワードを入力する前に、ノートブックにグリッドを描くことから始めます。
パスワードを読む必要がある場合は、文字のごちゃごちゃしたものの上にマスクを置くだけで、表示されるのはパスワードと、パスワードの一部ではない文字スロットを埋めるために使用したランダムなゴミです。 (その時点で必要なのは、パスワードの長さ、つまり終了文字または文字数を記録することだけです。)
マスクは安全に保管しますが、おそらく財布の中のノートブックとは別にしてください。マスクをある種の「マスターパスフレーズ」と考えてください。
これは、特にあなたのスキームを標的とする攻撃者や実際にはあなた自身をさえも保護する攻撃者に対しては実際には保護しませんが、合法的にオーバーヘッドが低く、偶然ノートブックを手にした人に対して妥当な量のセキュリティを提供するはずです- singパスワード。ここでのオーバーヘッドは、新しいパスワードをノートブックに記録するときです。これは、多くの場合、より適切に制御できる状況です(たとえば、ランダムにインターネットカフェにいる間は、銀行のパスワードを変更する必要がない可能性があります)。第三世界の国)。
難読化係数をさらに強化したい場合は、スキームにオフセットを追加できます。パスワードを入力するときにskipに先頭の文字数を記録します。
パスワードを入力しているときにノートブックを記録しているカメラがある場合、パスワードを入力するために使用しているキーボードも記録している可能性が高いです。書き留めたパスワードを難読化するために使用するスキーム。
ノートブックをちらりと見ながらパスワードを見つけられる人の影響を最小限に抑える基本的な方法は、ページごとに1つのパスワードを設定することです-あなたがそのパスワードを見ている場合、それは彼らが見ることができるすべてです。
別の代替案は Diceware または同様のリストを用意し、その数を書き留めることです。正当な所有者がDicewareリストと相互参照する必要があるという点で、「復号化」にステップが追加されますが、ノートブックへのアクセス権を持つ攻撃者が一時的に遅くなる可能性があります。リスト全体、およびアクセスを確実にするためのサイト固有の番号。
ただし、基本的には、所有者が即座に「解読」できる場合、攻撃者は特定の時間を解読できます。彼らがしばらくアクセスできる場合、彼らはあなたが知らないうちに内容のコピーをはっきりと取り、それに取り組むことができます(たとえば、本を安全だと思われる場所に見つけさせることによって-おそらくあなたがいつもバッグを保管している家の中など)。 、自然に落ちた可能性があります)。
固定された部分的なパスワードを覚えて、可変部分のみを記録することができます。ただし、その場合は、認証されたどのサイトも侵害されていないことに依存している-侵害されたらすぐに、一部が侵害されたと見なし、それを使用してすべてのパスワードを変更する必要があります。どこでもパスワード。
最も安全なオプションは、ノートブックが保管されている物理的な金庫を用意し、他の人がいないときにのみ開かれるようにすることです。ほとんどの用途では少しやり過ぎに見えますが、それはDNSルート署名キーなどの一部の重要なデータに使用される方法とほぼ同じです。
日記を書き、エントリ内にパスワードを埋め込みます。パスワードの本のようには見えません。誰かがスペルミスの単語に気づくためにそれを読む必要があります。親友や家族の住所、電話番号、郵便番号がPINとパスワードであるアドレス帳を使用しました。私は家族の住所と電話番号を知っているので、それらを間違って記録することは問題ではありませんでした。
より良い、より安全な例はたくさんありますが、パスフレーズを表すための図面/コミックの形式のニーモニックである、過去に使用したことの1つに触れたいと思います。ただし、パスフレーズが何であったかを漠然と覚えておく必要があります。
例としては、「トミーの誕生日は3月23日です!」というフレーズです。この漫画は、誕生日を祝って "トミー"として精神的に覚えているキャラクターで構成され、父親のジョーク(または、使用しているサイトへの参照を含むもの)へのパンチラインを備え、3月23日に日付/署名されたキャラクターで構成されます。さらに、パスワードを表さないコミックをさらに追加して、それらをさらに不明瞭にすることもできます。
歩いている人にとって、これは単なるスケッチブックです。ほとんどの人は悪い漫画家からDoodleを盗むことに興味がなく、特にパスワードの本になるとは思わないでしょう。誰かがそれを盗んでシステムを知っている場合でも、主観的なものになるだろう自分の図面を精神的に処理する方法を理解する必要があります。これは、各図面内にフィラー情報を追加して、パスワードを解読しようとしている人のパスワードにノイズを加えることによっても妨げられる可能性があります。ファンタジーを楽しむなら、コミックや絵を通して描くファンタジーの世界で重要なことについて、精神的な「法則」を作ることで、これをさらに推進することもできます。
先ほど述べたように、パスワードを物理的に保存する方法にはもっと良い方法がありますが、これはニーモニックを上手に使う人には効果があるかもしれませんし、とても楽しいこともあります!
むかしむかし、クレジットカードと銀行カードに異なるPINを書き留めました。私はそれらをベース9に変換し、各数値のどこかに偽の9を追加しました。これはかなり安全だと思いますが、もちろんPINのような完全に数値のパスワードに対してのみ機能します。
パスワードの暗号文としてウォレットサイズのリファレンスカードを使用する試みに何度か遭遇しました。一例: http://www.passwordcard.org/en
私はこれらのいずれかを使用しませんが、使用した場合、パスワードを導出する方法のメンタルモデルにより多くの時間を費やします。これにより、カードと同時にパスワード。これが心配な場合は、暗号を変更する方法を考え出す必要があります。 「行番号はこのサイトのドメイン名の3番目の文字を含む電話番号の数字で、列は最後から2番目の文字をアルファベットの数値位置に変換したものです。」したがって、Google.comはダイヤルパッドでO = 6なので、6行目、列はG = 7、7列目です。次に、文字数と読み方、または各文字をシフトする方法に関する他の要因を決定します。対角、1を超える、2を超えるなど。
少なくともこのソリューションを使用すると、「ノートブック」を紛失して後で置き換えることができ、安全なスキームを考え出そうとする問題が複雑になりすぎません。私が実際に使用した文字を使って「カード」を渡した場合、特定のWebサイトで正しい場所から開始し、正しい方向や長さなどを選択する可能性はほとんどありません。
私はニーモニックな手がかりを使います。そこで、手がかりから作成できるパスワードを考案し、手がかりを紙にのみ保存します。手がかりは落書き、絵の一部、またはパスワードを思い出させるものかもしれません。または、私が覚えていない部分を思い出させます。したがって、私の関連付けが何であるかを知らなければ、誰かが私の手がかりから私のパスワードを理解することは非常に困難に思えます。
暗記によるセキュリティは、無名によるセキュリティとしてカウントされますか?質問のコンテキスト内では、パスワードシステムであることを考えると、これはありそうもないことであり、誰かが私をよく知っている場合を除いて、ノートブックを見ることによってパスワードを推測することを防ぐ方法です彼らはどういうわけか私の手がかりから推測できます。私が知っている人でさえ推測できないパスワードをいくつか作成できると確信していますが、奇妙な組み合わせであるパスフレーズを作成するためのより多くの意図が必要です。作り物。
例-多数の記号とパスワードを含む抽象的な落書き。曲線のある部分にスポットを選択し、一方向に3つの小さなマークがあり、次に長いマークがあるが、それらは区別されない他の多くの波線やドットなどから。しかし、パスワードを思い出すために使用していた部分を覚えています。曲線は私に身体の部分を思い出させ、最初の2つの単語は2つの異なる言語の身体の部分です。3つのマークは、「yo ho ho」などの覚えている3トーンのフレーズで、スラッシュです。 YOW!など、私も覚えている最後の発言です。だから、いつでも「ごみとうぼうようほほYOW!」を思い出させることができますが、Doodleのどこを見ればよいのか誰にもわからないと思います。
書面のドキュメントに対する脅威モデルは電子的なものとは異なりますが、それらを処理する方法はよく知られています。物理的なアクセスの制限と監査です。
それが核発射コードであるか、妹の日記の南京錠の組み合わせであるかは、その制御を実行する特定の方法を除いて、問題ではありません。
つまり、このデータを保護する場合は、単純に難読化するのではなく、暗号化する必要があります。これを行う1つの方法は、パスワードでデータを暗号化し、暗号テキストをQRCodeとして印刷して保存することです。ただし、適切なアクセス制御に比べて大きなメリットはありません。確かに安全ですが、使用するのはかなり不便であり、実際に必要なときに失敗する可能性があります。
7年生では、クラスで日記を書いてもらいました。私は文字に斬新な記号を使用した単純なコードを使用し、その後ろにそれを書き留めました。しかし、すぐにそれを覚えて、簡単に直接書きました。
小説の記号を使用することは、文字の置換暗号を使用することよりも混乱が少ないです。実際、それはかなり簡単です。
難読化されますが、通常の手法で壊れる可能性があります... if通常の英語(またはその他)のテキストがあります!ランダムな文字のパスワードの場合、someエントリを解読して結果を使用して他のエントリを読み取る方法がない限り、非常に安全です。これは、複数のエントリを持ち、どちらが正しいかを知る別の隠された方法を使用することで改善できます。
非表示のインクでパスワードを書きます。
普通の本や別の目的に役立つノート(学校のメモ)を用意し、UVライトでしか見えないインクを使って余白にパスワードを書きます。ノートブック/ブックを見る人なら誰でも、パスワードにアクセスしている間はそれが何であると思われるでしょう。
注:目に見えないインクを紙に使用した場合の寿命はわかりません。
ルール番号1:パスワードを書き留めないでください
60年代後半、企業はメインフレームコンピュータの使用を開始しました。これはビジネスの新しいコンセプトでした。ビジネスの所有者は、適性のある誰かを見つけ(実際にコンピューターを見た大学のクラスを参照)、システム管理者になるよう依頼しました(解雇の脅威にさらされています)。新しい管理者には、ログインとパスワードが提供されます。これは多くの人にとって新しいコンセプトでした。そのため、念のため、パスワードを書き留めました。
複数の人々が同じアカウントでメインフレームを使用していました。問題は、誰かがバッチプロセスのすべてを構成し、後で戻ってそれを終了し、他の誰かがバッチプロセスのすべてを取得して再構成したことを発見することでした。あまり効率的ではありませんでした。アカウントが設定され、ログインとパスワードが渡されました。そしてもちろん、パスワードは書き留められていました。
80年代には、人々の机の上にコンピュータを置く時が来ました。それらはすべてネットワークを介してメインフレームに接続されていました。これにより、メインフレームで行った作業の結果を得るために机から離れる必要がなくなりました。また、メインフレームで実行していたタスクの一部を実行するのに十分なだけのパワーをデスクに提供しました。多くのシステムでは、単純で人気のあるパスワードが推測されないようにするために、8文字のパスワードが必要でした。パスワードはより複雑になったため(見たところ、パスワードは8文字で、誰もそれを推測できない)、人々はそれらを書き留めました。
90年代には、誰もがワクワクしていたこの新しい流行がありました。それはinterwebsと呼ばれていました、いや、intertoobz、いや、待って...インターネット。そして、システムは接続され始めていました。メールを書いて郵送する代わりに、すぐにメールを送信することができます。そこで、セキュリティの高い8文字のパスワードで文字、数字、文字を使い始めました...まだ書き留めていました。
…はずなのに(?)、オンラインで銀行、購入、学校を始めました。アカウントを作成し、すべてを保護するために同じパスワードを使用しました。このパスワードを忘れないように、書き留めておきました。
ここに私達は2015年にいます。平均的な人は彼らが覚えなければならない30の異なったログインとパスワードを持っています。長さは15文字で、記号、数字、大文字と小文字を含む非言語ベースの単語にする必要があります。彼らが絶対にしてはいけないことのリストもあります。
今、私たちは50年間、ルール1に違反するように人々を訓練してきました。また、人々は変化やテクノロジーを憎んでいるとも思います。
言い訳なんてどうでもいい。はいマルウェアは考慮事項です。ただし、実際のリスク分析を行う場合、マルウェアはパスワードを書き留めるほど大きなリスクではありません。あなたは自分のパスワードを隠すためのシステムを思いつくのがとてもトリッキーだと思うかもしれません。
ページの写真を撮るだけで、パスワードを解読する必要があります。私があなたのシステムを理解したら、私は本の何にでも入ることができます。これが受け入れられない答えである理由です。コンピュータはあなたよりも優れたソリューションです。そうでなければ、政府はコンピューターを使用してパスワードを作成および制御することはできません。
完全を期すために、質問へのコメントごとに:
既存のテキストまたは本を使用し、そこからパスワードを取得する
記事を印刷するか、本を用意します。できれば、「ノートブック」の使用を計画している環境で疑惑を引き起こさないものをお勧めします。
本のテキストからパスワードを導き出す方法をアルゴリズムで決定します。 「特定の段落の最初の10ワードから、最初の文字を取り、それらを組み合わせてパスワードを形成する」のようなものは、おそらく少し単純すぎるかもしれませんが、推測するのが少し難しい個人用アルゴリズムを見つけるでしょう。
パスワード(テキストの一部)をアカウントにマッピングするには、基本的に2つのオプションがありますが、これらを組み合わせることもできます。
- アカウントの場合は、アカウントのテーマに何らかの形で関連する文章を選択します。これには少し創造性が必要です。たとえば、主人公が友人に手紙を送る短編小説の部分は、あなたの電子メールアカウントのパスワードがそこに隠されていることを示しているかもしれません。
- 本に付箋などを入れてください。テキストの一部にマークを付け、その横にメモを書きます。テキストを研究している人なら誰でも、あらゆる種類の注釈をふりかけるのはまったく正常です。特にこの本をいつも持ち歩いているなら、これはもっとももっともらしいことです。メモでは、パッセージにパスワードが含まれている可能性があることが明確にならないように注意してください。また、注意を引くために、パスワードを含まないテキストの一部をマークすることもできます。
同じ本を次の10年間走り回ろうとすると、少し奇妙なことに遭遇するかもしれません。ただし、パスワードはとにかく時々変更されることを意図しています。しばらくしてから、新しい本を入手し、上記の提案に従って準備し、パスワードを変更してください。
おまけとして、ソースコードのリストやその他の技術的な部分が含まれている本を選択することもできます。この背後にある考え方は、それらが自然に多くの特殊な(非英数字)文字で構成されるということです。このようにして、テキストから特殊文字を含むパスワードをより簡単に取得できます。