IT Media 3/Oct/2003 パスワード設定のホントとウソ

　またWindows NT／2000／XPでも、14文字以下のパスワードを設定した場合には、Windows 9x／Meと同じ方式の認証方式もサポートするため、すべて大文字の場合と同じ程度の強さにしかならない。つまりWindowsのパスワードでは、大文字と小文字を取り混ぜてパスワードを作り、それを必死になって憶えたとしても、実は何の効果もないのだ。

これは知らなかったです。15文字以上のパスワードを使うべきなんですね。
でも、そもそも、NICの設定でネットワーク共有を無効にしておけば、Windows認証の危険性は激減するんですよね。

　パスワードを記録せずに記憶しておけるのならば、それが最善の方法だ。しかし、人間の記憶力には限界がある。憶えにくくしかもたまにしか使わないパスワードを憶えておくのは困難だ。また、メモを取ることを禁止することで、記憶しておけるようにとユーザーが簡単で弱いパスワードを使うようになっても逆効果である。

これは、同意です。
私の考えでは、PWPWのようなソフトを使って、完全にランダムなパスワードをPC上に記憶させておき、記憶と手入力に頼らない方がより安全だと考えています。
PWPWを使うことで、各サイトそれぞれに固有のパスワードを設定することができ、盗聴によるパスワード漏洩を防ぐことも可能になります。

　当たり前といえば当たり前だが、パスワードを定期的に変更していると、新しいパスワードを作成するたびに記憶しているパスワードが増える。あまりに多くのパスワードを覚えていると、だんだん記憶が混乱してきて、現時点で使っているパスワードがどれなのかが分からなくなったりする。また、定期的に強いパスワードを作り続けることには大変な労力を必要とする。こうなると残念ながら人間の性として、作成するパスワードがだんだんと簡単なものになってしまう。

PWPWを使う利点の一つとしては、このような定期的なパスワードの変更にも、記憶力の制限が問題にならないことも挙げられます。

　また、やや宣伝じみるが、筆者が所属するセキュリティフライデーでは、ここまで紹介したパスワード作成・管理のポイントを織り込んで「認術修業」というソフトウェアを提供している。こうしたツールを用いることで、より少ない負担で、効果的にパスワードを運用していくことができる。

この認証修業、見てみましたが、ライセンス料4200円を支払って、ライセンスを取得しなければ、ほとんど使えないことがわかってがっかりです。トライアル版では、6文字までのパスワードしか評価できないんですよ。

PWPWはこちらから入手できます。 → http://www.geocities.jp/lethevert/softwares/myWinAppli.html