05
22
23
24
25
26
27
28
29
30
31
   

パスワードに対する一考察

キャプチャ
図1:総務省 国民のための情報セキュリティサイトより

今まで「パスワードは定期的に変更しましょう」ってのが推奨されていましたが、どうやら方針変更となりそうです。


総務省の情報セキュリティサイトで、「パスワードを定期的に変更しましょう」と推奨されていた文言が今月に入って削除されて「定期的な変更は不要」と変更されているってんで話題になっています。

--みょ んでもいろいろなサイトで「長らくパスワードが変更されていません 変更してください」って怒られるみょ

うん。まだ個々のサイトでは対応できていませんが、そのうち対応してくると思います。定期的なパスワード変更を実施するとなると、簡単なパターンを作成してむしろ類推しやすいパスワードとなってしまうということです。


今はちょっとしたサイトでもすぐに会員登録が求められて、いちいちログインIDとパスワードの設定が求められます。サイトにしてみれば、ユーザーを特定することで履歴を管理できます。ログインさせたくなります。

調子に乗って登録していくと、ログインIDとパスワードがどんどん増えてきます。もきち♪はできるだけ登録しないようにしていますが、それでも数が増えてくると訳が分からなくなって二度とログインできなくなるので、暗号化してメモを残しています。

メモが流出しても暗号が解読されなければパスワードが破られる心配はありません。

メモによると、もきち♪が設定したアカウントとパスワードは158個です。これでも厳選したサイトなのです。どうかしています。

これ以外にも、本当に必要なオンラインバンキングや証券会社のパスワードはメモにも残していませんし、SNSのアカウントで登録しているサイトも少なくありません。どうかしています。


自分ではお金が絡むような重要なアカウントと、ただ単に情報を得るためだけの乗っ取られても何も実害がないようなアカウントは管理レベルを分けています。

でも、アカウントの作成を要求してくるサイトは同じトーンで「英数〇文字と記号を含めてください」などと要求してきます。とても覚えきれません。何しろ158個です。忘れると二度とログインできません。いきおい「忘れない」パスワードを設定したくなります。

でも、「パスワードを複数のサービスで使い回さない」ようにしましょうと言われます。確かに、ちょっとした情報を提供しているサイトの管理者が、自分のサイトのアカウント情報を利用してあらゆるサイトにログインを試みたら大変なことになりそうです。

とは言っても、まったく関連がないパスワードを158個作成して、それらを決して他人にわからないように間違いなく管理するというのは並大抵なことじゃありません。

Webブラウザが覚えてくれるというのもありますが、一度ログインに失敗すると二度とログインできなくなりかねません。

ある程度自分でアカウントレベルを設定して、重要じゃないアカウントに対してはそれなりにパターン化して設定するというのが必要なのかもしれません。


今はSNSのアカウントで登録できるサイトも増えています。便利です。でも、SNSと紐付けられるというのはなんだかぞっとしない。

それに、今の仕組みでは登録できるSNSがサイトによって違うため、SNSのアカウントで登録したというのは覚えていても、どのSNSで登録したのかわからなくなる。間違えると新しいアカウントを作成することになってまたややこしい。

それよりも、アカウントレベルが低いサイトは、どこかにマスターアカウントを登録して、そのアカウントで登録できると便利です。シングルサインオンなんて仕組みもあります。デファクトスタンダードとなるマスターアカウントができるとありがたいのですが、今はまだ難しそうです。

まだまだアカウントとパスワードには悩まされそうです。

2in1タブレットPCユーザーとして改めて思うこと

scale.jpg
図1:もきち♪のメインPCとサブPC

つい先日購入したと思っているサブPCも、振り返ってみると2年半前の購入です。


サブPCはもきち♪が購入した初めての2in1タブレットPCです。

今までキーボードが付いて持ち運べるガジェットはいろいろと使ってきましたが、キーボードを持たずに持ち歩けるPCというのは初めてなのです。

ということで、感想は。「キーボードがないと何もできない」もっと言うと「マウスもなければ使いたくない」ってことです。

いや。今までも、モバイルガジェットはマウスはなかったのですが、ノートパソコンは大体持ち歩いていましたので、ちゃんとした作業はパソコンで行っていました。

でも、タブレットPCはちゃんとしたWindowsが動作しますので、これだけで使いたいのです。キーボードもマウスも必要です。


ただ、ノートPCとの大きな違いは「デジタイザペン」です。

これは便利です。仕事の電話中にはOneNoteを立ち上げてメモを取りながら話せます。必要ならその後にテキスト化すればいいのです。片手でOKです。長電話になってもどんどんメモれます。

もちろん。タブレットPCでもデジタイザペンに対応しているのは少数ですし、ノートPCでもデジタイザペンに対応している機種もあるかもしれません。

2in1タブレットPCの入力方法はいくつかありますが、今のところもきち♪が使えているのはキーボードとマウスとデジタイザペンだけです。

キャプチャ
図2:デジタイザペンでOneNoteに書きこんだ文字

--みょ たどたどしいみょ

うん。たどたどしいのはもきち♪だからです。ちゃんとした文字が書ける人ならちゃんと書けます。


普段持ち歩くのに、ちょっと重いのです。2in1タブレット。もうね。どうせキーボードなしでは持ち歩けないのだからノートパソコンでも変わりません。

分離するから重くなっているだろうと思ってノートパソコンの軽いものを探していたのですが、どうもなかなかいいものがない。

どうやら、10インチ程度の小型のものは2in1タブレットで、ノートパソコンはモバイルでも13インチ以上になっているようなのです。そしてキーボードも合わせると1.3~1.5kgになっています。

もきち♪は非力ですので、1kgを超えると持ち歩くのにためらってしまうのです。そう考えると、別にキーボードは分離しなくてもいいからデジタイザペン対応で1kg以下の軽いものがないかと思っています。

WPA2(Wi-Fi)の脆弱性に対する一考察

キャプチャ
図1: 情報処理推進機構 (IPA) WPA2 における複数の脆弱性について

ここのところWi-Fiで広く使われている暗号化プロトコル「WPA2」の脆弱性が話題になっています。


もきち♪もオンライン情報処理技術者で、WPA2で通信していますすので、気になっています。

--みょ 暗号が破られたら大変だみょ あんなサイトを見ていることがわかったり、オンライントレードで勝手に売買されたり、インターネットバンキングでお金を全部取られちゃうみょ

いえ。あんなサイトを見ていることはわかりますが、勝手に売買されたり、勝手に銀行からお金を振り込まれたりすることはありません。お金がかかわるサイトなどで、URLが「https」で始まっているサイトは別途暗号化されています。パスワードを入力するサイトはほとんど暗号化されています。これらの暗号が破られたわけではありません。

トレードツールのアクセスも当然暗号化されていますので、直ちに危険にさらされるわけではありません。

話題になっている脆弱性を一言でいうと「ネットワークHUBの空きポートに勝手にLANケーブルを刺されたような状態」です。

Wi-Fiの親機と子機の通信に勝手にアクセスするのです。

無線LANですので、有線よりも発見は難しいのですが、当然「電波の届く範囲」に入られなければ問題はありません。

自宅でWi-Fiを使っていて、良からぬ海外のクライムハッカーから勝手にアクセスされるわけではないのです。


今話題になっているのは、暗号が解読されるわけではありません。

--みょ んじゃぁ安全だみょ

う~ん。解読するわけではなくて、勝手に暗号キーを送り付けて、暗号キーを置き換えてしまいます。通信に入りこめれば、そのネットワークでやり取りされているデータを取り込むことができます。

--みょ 勝手に入ってきたらダメだみょ


対応策としては、暗号キーを勝手に置き換えられないようにすることが必要です。

--みょ んでもそんなことできないみょ

うん。Microsoftは10月のWindows修正パッチで対応しています。もきち♪のPCでは10月11日にインストールされていました。Windows 7、8、8.1、10は対応済みのようです。

AppleやGoogle(Android)もすぐに対応するとアナウンスしています。修正プログラムを自動でインストールする設定の人はそのうち対応されると思います。

でも、通信は子機だけでは成立しません。問題は親機です。もきち♪家で使っているWi-Fi親機のサポートサイトを調べてみましたが、まだ何もアナウンスされていません。

修正パッチは上位互換ですので、親機が対応していないままでは、子機が対応していても勝手に暗号キーが置き換えられてしまいます。

それでは困るので、親機のサポートサイトにメールで問い合わせておきました。どうなることやら。


それでも問題は解決しません。もきち♪家では娘がPS4をPS Vitaでプレイしています。Wi-Fi接続です。PS4はLANケーブルをつないで有線で運用できますが、PS VitaにはLANケーブルがつながりません。

つまり、SONYに頑張ってもらわないと、PS VitaのWi-Fi通信からもきち♪家の家庭内LANに侵入される可能性があります。ネットワークへの侵入はどこでもいいのです。侵入したネットワークのログはどこからでも閲覧できるのです。

Wi-Fi電波が届く範囲から。一応マンションの3階なので壁に貼りつくか上下左右の部屋に侵入されると危ないのです。

--みょ その前に侵入された上下左右の部屋の人が危険だみょ


Wi-Fi通信の暗号化が一時的に危険に陥っているということです。とは言っても、Wi-Fiの電波というのは障害物に弱いので、見える範囲と言ってもいいのかと思います。

そして、公衆Wi-Fiでセキュリティー保護がない場合にはそもそも暗号化されていませんので、もともとオープンになっていて今回の脆弱性とは全く無縁です。

ユーザー側でできることは、できるだけ有線で運用することと、更新パッチやファームウェアが公開されたらアップデートしておくことかと思います。

クラウドストレージのコンフリクトに対する一考察

キャプチャ
図1:クラウドストレージのコンフリクト

ちょっとクラウドコンピュータの記事が続きましたので、ついでにクラウドストレージのコンフリクトについてまとめておこうと思います。


以前の記事「クラウドサービス」で少し触れましたが、クラウドストレージで排他制御がなされていないと、データが壊れる可能性があります。

--みょ クラウドストレージ? のコンフリクト? 排他制御?

うん。クラウドストレージは、インターネット上にあるファイル保管場所です。それだけではなくて、自分のパソコン(クライアント)にファイルのコピーを置いて、どちらかが修正されると新しい内容に書き換えられます。同期されているのです。

1台のパソコンだけで使っているのならいいのですが、それではインターネット上に置いてある意味がありません。他のパソコンや、スマホや、場合によっては他の人と共有して使えるのです。

そうなると、同時に変更した場合にややこしいことになります。


例えば、図1です。このクラウドストレージは「パソコンA」と「パソコンB」に同期してコピーしてあります。

クラウドストレージに「もきち」と書かれたデータがあります。これはまだ入力途中です。愛想がない。

そこで、「パソコンA」で、「もきち」に♪を付けて「もきち♪」と変更しました。これを「パソコンA」で保存すると、同期がとられてクラウドストレージの「もきち」も「もきち♪」に変更されます。

ところが、「パソコンA」で保存する前に「パソコンB」で「もきち」に(^^)を付けて「もきち(^^)」と変更しました。

この状態で「パソコンA」でも「パソコンB」でも修正後のデータを保存するとどうなるでしょう。

--みょ 先に保存したほうが同期して、後から保存したほうが同期して。。。ぎゃ わかんないみょ

うん。これこそ壊れます。「パソコンA」のデータと「パソコンB」のデータを両方反映することはできないのです。

このように、複数の処理が同じ資源に対して競合状態になることを「コンフリクト(conflict)」と呼びます。


今回はクラウドストレージの話ですが、仕組みは一緒ですのでデータベースでのコンフリクトを確認してみます。

データベースは複数人でデータ登録することが前提ですので、コンフリクトも一筋縄ではいきません。

何も対策を打たなければ、「遅いもん勝ち」になってしまいます。後から保存した修正だけが残ります。そして、先に保存した人は、もう修正が済んでいる気になっています。

それでは困るのです。

そこで、多くのデータベースでは、誰かが「修正中」のデータは他の人が修正できないような仕組みを取り入れています。「排他制御」です。

データを修正する場合には、データベースからデータの修正権利を持ってきます(チェックアウト)。他の人はデータを閲覧することはできますが、修正することはできません。データの修正が終わったら修正権利とともにデータを戻します(チェックイン)。

--みょ なんだか面倒だみょ

う~ん。一度でもデータの消失を経験すると、とってもありがたい仕組みだとわかります。


でも、クラウドストレージではいちいちチェックアウトしてチェックインしてってのは現実的ではありません。そもそも同期したデータで修正権利がなかったら悲しくなってしまいます。ぐれちゃうかもしれません。

でも、クラウドだって複数の端末で使います。スマホで使ったりしたら、意識して閉じないと3日前に読み込んだデータを保存してしまうなんてこともあり得ます。

--みょ 排他制御は?

うん。ちょっと難しいかもしれません。細かい処理はシステムによって違うと思いますが、Googleドライブでは、後から保存しようとしたときにコンフリクトが発生していると、保存はされますが同期されません。ファイルが2つ存在することになります。

そうなると意識して修復するしかありません。厄介です。はい。何度か経験しました。学習能力が低いのです。

対策は、修正する前に他の端末で開いていないか確認することと、時々同期エラーが出ていないか確認することです。日々の地道な作業がデータの衝突を防ぐのです。


便利なものには必ず落とし穴があります。よく効く薬には副作用があるのです。

クラウドストレージは複数の端末を使う人にとってとても便利な仕組みです。でも、便利だからこそ思わぬ弊害もあることを知っておく必要があると思っています。

今さら聞けない URL、メールアドレス

キャプチャ
図1:このブログのping結果

普段何気なくURLとかメールアドレスを使っていますが、これらは世の中にあふれかえっているWebページや、世界中の人々から唯一の対象にたどりつきます。からくりが気になります。

※尚、ブログツールが勝手にリンクを貼ってしまうのを防ぐために、例として記入する架空のアドレスは全角とします。


URL(Uniform Resource Locator)は、インターネットの中から特定の資源にたどり着くための宛先のようなものです。

例えば「http:www.mokichi.co.jp/~mokichi/index.html」ってのは、「日本(.jp)」にある「もきち♪の会社(.mokichi.co)」の「wwwって名前のサーバー(www)」の「mokichiのユーザーディレクトリ(/~mokichi/)」にある「index.html」って名前のファイルを「http」のお約束で表示してねってことです。

「www」ってのはサーバー名なのです。そして、ファイル名を省略した時には「index.html」とかを表示してねって設定することで、ファイル名を省略できたりします。


URLでは、インターネットの中から特定の資源にたどり着くわけですから、唯一無二のものである必要があります。

でも、世の中の人が勝手にコンピュータ名を設定すると、唯一無二ではないかもしれません。何しろコンピュータ名はどこかに登録するわけではありません。「www」なんて名前のコンピュータは世の中にあふれています。

そこで、「ドメイン(部分領域:domain)」です。上の例では「mokichi.co.jp」ってのがドメインです。

この「mokichi.co.jp」って部分を管理して、そのドメインの「www」サーバーという表記をするのです。

世界に「もきち♪」って人がたくさんいても、「住所」を特定すれば、その住所に住んでいるもきち♪ってんで一人に特定できます。

「住所」まで含めた「もきち♪」ってのは一人なのです。サーバーも、ドメインを含めることで唯一無二(ユニーク)となります。


ところで、メールアドレスというのもURLです。

--みょ んでもメールアドレスとURLじゃ見た目が違うみょ アットマークだみょ

うん。メールアドレスは「mokichi@mokichi.co.jp」のように記載します。でも、これもURLで「mailto:ユーザー名@サーバー名.ドメイン」のように記載できます。

特定のサーバー(@の後の部分)の特定のユーザー(@の前部分)にあてたお手紙なのです。

本来は受信メールサーバー名も指定する必要がありますが、ドメインの親方が気を利かして「@」の後のサーバーに登録してくれているのです。

例えば「mokichi.co.jp」の受信メールサーバー名が「mail」だったとすると、「mokichi@mail.mokichi.co.jp」あてのメールも同じ場所に届きます。


基本的にはこんな感じですが、実際には大きなサイトではいくつかのサーバーをひとまとめにして管理したり、レンタルサーバーなどでは1台のサーバーをいくつかに分割して別サーバー名を付けたりドメインを分けたり、ドメインを転送したりで複雑になっています。

このブログも、IPアドレスを調べてみると、第1ドメインが「me」でモンテネグロのアドレスとなっています。

とは言っても、基本はおさらいしておいて損はないのかと思います。

プロフィール

もきち♪

Author:もきち♪
個人事業主ですが株式投資のほうが主体になっています。

投資スタイルは逆張りナンピン。チキンになりきれないひよこ投資家™でピヨピヨトレードです。

2007年に投資信託を始めて、2009年に国内株式の個別銘柄投資を始めました。

中小企業診断士(診断業務休止中)でオンライン情報処理技術者です。

ブログでは株式投資とコンピュータの話を中心に書いています。

きほんゆるめに。。。

【FISCOソーシャルレポーター】ってのに公認されました。


キャプチャ
もきち♪への直通メール

スピンオフサイト

ブログ内リンク

全ての記事を表示する
データをダウンロードできるサイト一覧  シーズン2

ブログ内検索

過去の記事

全ての記事一覧

カテゴリ

最新記事

ランキング




経済ニュース












使っている証券会社

スポンサードリンク

おすすめ



カンファレンスバナー

アフィリエイトフレンズ

クラウドソーシング「ランサーズ」

広告