今日は、曖昧ながらも重要な「セキュリティ」を題材に記したいと思います。
圧縮ファイル+パスワードは危険?
仕事の中で秘密にしたい文章をやりとりするときに
「圧縮ファイルにパスワードを付けてお送りします。パスワードは別のメールでお送りします」
というやりとりが、未だに見受けられます。
でもこれ、今となっては「ぬののふく」より少し強い程度の防御力しかありません。
さて、どこが問題なのでしょうか?
「無限の時間」を与えてはダメ
答えは「ファイル自体をメールで送る」時点で問題有りです。
パスワードを別のメールにしても関係ありません。
仮にデータを悪意のある人に盗み見られた時に、相手に「無限の解析時間を与えてしまう」からです。
更に、電子メール自体、不用意にccが残ったまま送信してしまいがちな連絡手段であるため、うっかり意図しない人に秘密の情報が渡ってしまうことにもつながります。
何度かこのブログにも書いていますが、今やクラウドサービスで高速なコンピュータが時間貸しで使えてしまう世の中です。
パスワードも人間が入力する程度の長さであることが殆どですから、それこそ数字の1から順番に総当たりで試されては、どのみち破られてしまいます。
パスワードも人間が入力する程度の長さであることが殆どですから、それこそ数字の1から順番に総当たりで試されては、どのみち破られてしまいます。
更に「人がよく使いそうな単語一覧」みたいな情報も出回っています。それを併用されたら一瞬で破られることすらあります。
(よく使いそうな単語の一例は「最悪のパスワード」で検索してみてください)
この方法を使うよりも、g●●gleドライブに「特定の人しか参照できない権限」を付けて共有したほうが、遙かに安全です。
(権限の付け忘れとか、権限の範囲を広げてしまうことについては注意してください)
ICカードの暗証番号は、意味合いが違う
最近、銀行口座からの不正出金の話題をよくニュースで見かけます。
どうやら制約を上手くすり抜けられる道があったことが原因で被害が出てしまったようですが、それ以前に、キャッシュカードの暗証番号は、言ってしまえば「4桁数字のみのパスワード」と同じです。
「ぬののふく」どころか、全裸にお盆1枚で見せたくないところを隠しているレベルです。
これをネットワーク上で安易に扱ってしまうのは、よくありません。
「銀行と連携する機能」という名目で暗証番号を求めるソフトもあるようですが、入力はお勧めできません。
でもICカード付きキャッシュカードに付いている暗証番号は、ちょっと意味が違います。
あの暗証番号は、あくまでICカードの中に入っている強力な暗号鍵を使えるように一時的にドアを開くだけの用途に使われていて、更に開いたとしても銀行との間では暗号通信が行われるので、実質的に外部から悪用する隙がありません。
マイナンバーカードも同じ原理のため、インターネットを通した処理に使用しても、危険性は低いです。
更に、ICカード自体に「自爆機能」が入っていて、
・暗証番号を3回間違えると、ICカード自体が内側からドアを閉ざしてしまいます。
・こじ開けて中を見ようとすると、自爆します。
もし昔ながらのICが入っていない磁気式のみのカードを使われている方は、実費がかかったとしても、早い段階でICカード付きに切り替えられることをお勧めします。
いつでも、将来はどうなるか分からない
とはいえ、これらですら「いつまでも大丈夫」なわけではありません。
最初に記した「圧縮ファイルにパスワード」も、それが言われ始めた当時はそれなりの効果があったのです。
また、コンピュータ関連の技術も進化してきており、中には「これが完成してしまうと、今のセキュリティが全部ダメになってしまうのではないだろうか」と危惧されているものもあります。
セキュリティの問題は、一度こうしたから安心というものではなく、時代の状況に応じて都度見直していく必要があります。
0 件のコメント:
コメントを投稿