わさっきhb

大学(教育研究)とか ,親馬鹿とか,和歌山とか,とか,とか.

情報セキュリティの授業で話せなかったこと(1)

4月ということで,講義が始まりました.
情報セキュリティも,授業資料は昨年度のものをほぼ使用しています*1.脱線は,ほどほどにしています.
これから,過去にこの日記で書いていた「語録」に替えて,授業で言いそびれたことを書いていくことにします.うまく言えなかったので,文字で表現する,というのを含みます.過去には,悲しい「可用性」 - わさっきでavailableの話を書いています.
第1回は,「パスワードと記憶力」です.
ブルート・フォース・アタックに強いパスワードを作るには,字種を増やすこと,そして字数を増やすことです.
とはいうものの,実用上の注意点があります.
銀行の暗証番号は4桁の数字となっていますが,ある日から,4桁では簡単に破られるので,8桁にしなさいと,全国,いや全世界でそういう運用になったら,どうでしょうか?
みなさんは,8桁の数字をきちんと覚えていられますか? いや,みなさんの年代なら,大丈夫でしょう.一番よく物事を覚えられるときだと思います.
しかし,銀行の口座を持つ老若男女誰もが,自分の口座のためとはいえ,8桁の数字を覚えられるかというと,自分ができるから他の人もできるよ簡単だよ,って言ってはいけませんね.
となると,暗証番号を紙に書いて銀行へ持って行ってですね,そのときはいいけど,帰るときにその紙を失くしてしまった,なんてことになりかねません.本人はアクセスできなくなるし,カードも一緒に失くしてしまったら,悪用される可能性だって出てきます.
1年生で教わった,演習室でログインするためのパスワードの管理,例えば英字の大小に数字に記号を使って6〜8文字にするとか,パスワードは頻繁に変えるとかいうのは,エンドユーザのセキュリティです.この授業では,それを超えて,自分が情報システムの管理者なら,どのようにパスワードを発行したり再発行したり,どんなパスワードを使うよう教育するかといった観点での説明も行っていきますので,誰の立場でのセキュリティ対策なのかについては十分に注意してください.
ところで,4桁でも8桁でも10桁でも,番号をどう覚えますか? 私がよく使うのは,電話機です.記憶したい数字を,電話番号と思って打つとどうなるかを,頭の中で思い描くのです*2.各桁は,0から9までのいずれかですが,そのように10個ある数字を直線上に配置するのは,なかなか覚えにくいものです.電話機のように,3×4のマスをイメージして,そこで数字を押していくように番号を一つ一つ記憶していくと,覚えやすいし,取り出しやすいものです.

*1:外部リンクはあらかじめチェックしています.実際,1件,URLが変わっているのがありました.

*2:パソコンのキーボードを連想しないのは,長らく,Happy Hacking Keyboardを使っていて,テンキーがないからです.