いかにパスワードのセキュリティを高めるか　キングジム　パスワードマネージャー『ミルパス　 PW10』

2013年12月26日

ツイート

KING JIM パスワードマネージャー『ミルパス　PW10』（Amazon.co.jpで3,480円：確認時点）

 

いかにパスワードのセキュリティを高めるか

このキングジム　『ミルパス　PW10』は、着眼点のユニークなパスワード管理端末なんだ。

オレオレ詐欺をはじめとして詐欺師が跋扈する昨今、セキュリティに対する意識がいやが上にも高まってるのだけど、それは運営者も同様。

まず、複数の異なるサービスで同じパスワードを使い回すとかは、論外だと思う。
アルファベットの小文字と大文字・数字・記号を機械的に組み合わせることにより、暗号強度が高まるし、その文字列は長ければ長いほどいいんだ。

例えば、1文字では89通りしか文字のパターンがないのだけど、それが、2文字で7,921パターン（89×89パターン）、3文字で70万4,969パターン（89x89x89パターン）と、文字数が一つ増える毎に乗数算的にパターンが増えるから、それに応じて安全性が高まるという案配。

それで、ハッカーがパスワードを解析する方法として、総当たり攻撃（ブルートフォースアタック）・辞書攻撃・盗聴が有名なのだけど、例えば総当たり攻撃だと、普通のPC1台（CPU：Intel Core i7、システムメモリ：8GB、GPU：GeForce GTX 680）と市販のツールを使用して、暗号付きで圧縮したZipファイルを、6桁で（最大）2分24秒、8桁で14日 、10桁で341年で解析できるという測定結果がある。

しかも、これはアルファベットの小文字と大文字・数字・記号を組み合わせたケースの場合で、アルファベットの小文字だけだと、10桁でも最大9時間で解読されてしまうんだ。

もっとも、運営者はAES-256という暗号アルゴリズムでパスワード付きの圧縮をしていて、それとアルファベット小文字＋大文字・数字・記号を組み合わせたケースだと、6桁で（最大）7日、8桁で169年 、10桁で1,462千年で解読と、若干安全性が高まることがわかる。

AES-256での圧縮は7-Zipというソフトでできるんだ。また、パスワードの暗号強度は、マイクロソフトの下記のサイトで確認することができる。

パスワード チェッカー: 安全性の高いパスワードの使用（Microsoft セキュリティ）

参考:「Zipファイルのパスワードを短くするのは危険だよ！」を計算して確認してみた （元RX-7乗りの適当な日々）
参考：セキュリティ調査レポート Vol.3／パスワードの最大解読時間測定 【暗号強度別】 | サービス （ディアイティ）

 

ブラウザにパスワードを保存することの便利さと盲点

前置きが長くなったんだけど、まだそれは続くんだ。

ChromeとFirefoxには、各種サービスのログイン画面で入力するIDとパスワードを一々入力しないで済むように記録してくれる便利な機能があるんだけど、最近、そのパスワードが丸見えだということが話題になった。

それは、どちらのブラウザでも、設定画面からパスワードが見れてしまうから、うっかり他人にPCを貸したり、一時期でもPCを触らせたら、その相手次第ではパスワードを悪用されて危険だということ。特に、金融関連がシビアな問題だと思う。

それで、Firefoxは設定画面からマスターパスワードをかけることによってそれを防ぐことができるけど、Chrome場合のはその手段さえない。だから、運営者は、その事実を知った次の瞬間にFirefoxにマスターパスワードをかけ、Chromeの方のパスワードはすべて消去したんだ。

もっとも、Firefoxの場合でも、ハッカーにPCを乗っ取られて、プロファイルフォルダ内にある暗号化されたファイルを盗まれた場合は安全でないという話もある。

そうすると、ハッキングされる可能性の他、PCが自分だけで使う環境なのか、それとも、他人もさわれる環境なのかということも、問題となってくる。

追求すると奥の深い話で、運営者なんかは、もう考えるのが面倒なこともあり、下記の条件で、ID＆パスワード束のテキストファイルをパスワード付き（マスターパスワード扱い）で圧縮している。

7-Zipを使い、暗号アルゴリズムAES-256で、アルファベット小文字＋大文字・数字・記号を組み合わせたパターンの（暗記している）30文字で暗号化。

また、利便性を優先させるなら、PC上で利用できるパスワード管理ソフトに KeePass Password Safe や ID Manager の様なソフトがある。それで、例えば ID Manager の場合は、マスターパスワードを設定してID・パスワードを10,000個まで登録できる仕様で、ログイン画面上でそれらを流し込むこともできるようなんだ。また、パスワードは暗号化されているとのこと。

参考:Chrome などで保存したパスワードが丸見えだから危険とか言われている件について （WWW WATCH）

 

パスワード管理の安全性を向上させる『ミルパス　PW10』

で、ここまでが前置き的な話。

PC上でパスワードを管理している限り、ハッカーがネットワークに進入したり、PCに触った他人がパスワードを盗んでいく可能性を完全に排除することはできないと思う。

それに対して、このキングジム　パスワードマネージャー『ミルパス　 PW10』は、紙のノートにIDとパスワードを記載する行為の延長線上に位置するような、ユニークなコンセプトのパスワード管理端末なんだ。

基本的に、PCとは隔離された環境で動作して、マスターパスワードを登録した上で、最大200件のID＆パスワードを登録することができる。

また、モノクロの2.5型液晶画面で、タッチペンで入力（英数字・ひらがな・カタカナ・記号）する仕様になっているんだ。

それで、USBケーブルでPCと接続して、PCにバックアップデータを保存（暗号化済み）したり、ブラウザのログイン（パスワード入力）画面で端末からIDとパスワードを（自分で）コピペしたりすることもできる。

でも、運営者は、このPCとの連動が仇になって、この製品を中途半端なものにしてしまっているという印象を受けるんだよね。普段はPCと隔離されていても、PCにバックアップデータを保存することにより、隔離化のメリットが失われていないかとか…

その一方で、バックアップを取っていないと電池切れで初期化してしまうなど、この製品には主に下記の欠点がある。

・電池切れで初期化する（データが全て失われる）
・タッチペン入力に難あり（ペンが小さい）
・コントラストが低く画面が見辛い
・マスターパスワードが伏せられずに画面に表示される
・データの転送が遅い

とりわけ、タッチペンの入力がし辛いという声が強く、最初の登録をPCから一括して入力することにより何とか使い始めることができるという案配。この事から感じることは、この製品はまだ発展の余地があるのではないかということ。

運営者は、まずネットワークからの隔離を貫徹させることにより、この製品の価値が飛躍的に向上すると感じる。

つまり、バックアップをPCに保存するのをやめて、データを暗号化した上、本体のメディア（MicroSD等）に保存する仕様にするということ。そして、ネットワークとの接続を完全に遮断したスタンドアローン・モードと、USBか、出来ればBluetooth接続で端末からPCへの方向にだけデータが流れる仕組み（PC＆ネットワークからのアクセスは遮断）にしたワンサイド通信・モードの切替を可能にした仕様にしたらよいのではないかな。

また、例えばBluetooth接続でPCと接続して、パスワード入力画面においてID＆パスワードを端末からワン（orツー）クリックで流し込めるようにすれば、飛躍的に利便性は高まるはず。

そうすることにより、主に下記の利便性が生じると思う。

・いつ電池切れ（データ消去）になるかとビクビクしないで済む
・リスクが（本体・メディアの紛失or盗難に）絞られてくるので早期に対処できる（いつハッキングの被害にあったかわからない、という状態に陥らない）
・ネットワークからもたらされる脅威を排除（または低減）することが出来る

なお、他に下記の改善余地がある。

・バックライト機能を付ける
・検索機能を付ける
・指紋認証機能を付ける

この製品については、現状の仕様においても、クレジットカード・銀行口座・証券口座他のパスワードおよびセキュリティについての意識がシビアになってきている（重要性が高まっている）昨今、購入する価値は十分あると思う。

そして、キングジムさん（あるいは他メーカー）が利便性およびセキュリティにおける上記の問題を克服したなら、更によい製品になる、つまり、誰もが購入したくなるような突き抜けた製品になる可能性があるのではないかな。

以上、製品のコンセプトがユニークで、パスワード管理における安全性を高めてくれるガジェットの話。

製品の主な仕様（PW10）

品番	PW10
価格	税込価格¥5,229〈本体価格¥4,980〉
本体色	ブラック
液晶	2.5インチ反射型STN液晶、モノクロ表示
タッチパネル	抵抗膜式タッチパネル
登録件数	200件のアカウント（ID・パスワード）
電源	リチウムコイン電池 CR2025×2個
電池寿命	1日3分の使用で約6ヶ月
本体寸法	約83×50×9mm
質量	約50g（電池含む）
入力可能文字	英大文字・英小文字・数字は半角のみ、ひらがなは全角のみ、カタカナ・記号は全角/半角、漢字は表示のみ※漢字の入力はミルパス専用PCソフトでのみ可能です。
インターフェイス	microUSBポート
付属品	専用タッチペン（本体収納）、リチウムコイン電池 CR2025×2個、microUSBケーブル、取扱説明書（保証書付）

タグ: キングジム