共通パスワードは恐ろしい

1年くらい前から、全てのウェブサービスのパスワードをユニークな(=全て異なる)パスワードにしました。100以上の利用サービスがあるので、達成するまでは手間でしたが、達成後はかなりの安心感を得ることができました。

どうやったのかは後で説明しますが、なぜそうしたかというと、あるとき、同じパスワードを使い回すのが恐ろしくなったんですよね。

どういうことかというと、「サービスA」「サービスB」があるとします。パスワードが同じだと、サービスAのパスワードが流出したときに、サービスBにまで被害が広がる恐れがあります。流出しなくても、サービスAの管理者が悪意を持っていれば、サービスBにアクセスできてしまします。

これを現実世界の鍵に例えると、「家の鍵と、貸しロッカーの鍵が同じ」みたいなものです。こう思うとヤバいでしょ？家の鍵穴は秘密でも、貸しロッカーには管理者が別にいて、信用できるかどうかは謎です。

全ての管理者を信用してはいけない

正確な出自は覚えてないので話半分に聞いてほしいのですが、とあるウェブサービスの管理者が、「試しにユーザーDBを使って某大手SNSにログインを試してみたら、半分以上通った」という噂を聞きました。えー、行為も結果も含めてまじで？って感じですよね。でも普通にあり得ると思います。人間だもの。

そもそも、そんなことやるなよ！パスワードを平文で保存しとくなよ！とも思うわけですが、結局、生(なま)パスワードが保存されているのか、されていないのか、適切に扱われているのかなんて、利用者にはわからないわけですよ。

よくサービス開発の基本として、生パスワードは特別な事情が無い限りは保存するなという教えがありますが、これがいくら正しくて、どんなに周知されていても、本当にそうされているかどうかなんて、ソースコードを開いてみない限りはわかりませんからね。

全てのパスワードをユニークにすると、もしものときの被害が最小限になる

以上のことから、利用者側は「パスワードは平文のままで保存されている前提で行動する」のが合理的です。そうした場合、もしものときの被害を広げないための有効な自衛手段は、全てのサービスのパスワードをユニークにすることしかありあせん。

もちろん一意にしたところでそのサービスのパスワードが漏れることはあり得るわけですが、不正アクセスされるのはそのサービスだけになるので、被害が最小限に抑えられるのです。これは大きなメリットです。

重要度別パスワードは実情の変化に追随できない

一意にするまでは10近い種類のパスワードを重要度別に分けていました。ですが、パスワードを決めるのはサービス利用時ですし、そのとき重要じゃなくても、あとから重要になったりするのですよね。

僕の場合、twitterなんかがいい例でした。DMなんてそんなに使わないだろうし、TLは公開情報だけだから、低重要度なパスワードを選択していましたが、DMが意外に使われまくって、合わなくなりました。

KeePass(キーパス)でランダムでユニークなパスワードを自動生成、一元管理

さて実際に全てユニークにするにはどうしているかというと、KeePassを使ってランダムなパスワードを自動生成し、KeePassのDB(データベース)機能で管理しています。KeePassのDB自体は長〜いパスワードで暗号化されています。

DropboxにDBファイルを入れておけば、スマホとの連携も容易です。

• KeePassでパスワードをより厳重に管理する方法 - nanapi Web
• KeePassをiOSでDropbox連携できるMiniKeePassアプリの出来が最高すぎる : akiyan.com

一元管理は、適切に扱えば低リスクで抑えられる

ちなみにDBファイルとパスワードが漏れたらおしまいですが、信用できるかどうかわからない管理者に共通パスワードを預けて、大小様々なリスクを撒き散らすよりはいいと思います。

というかまず、このDBファイル自体へアクセスするまでに高いハードルがあります。アクセスできたとして、ファイルの暗号化を突破しないといけません。そこまでして僕個人を攻撃しようとする人は、いたとしたらそれはそれで驚きですが、普通はよっぽど重要な人物でなければ攻撃されないでしょう。

ここはもう利便性とのトレードオフなので、TrueCrypt等の仮想暗号化ドライブを併用したりしてさらに暗号化をかけてもいいと思います。あと、お金が絡むような超重要なパスワードに関しては、DB＋記憶という合わせ技もアリですね。マトリクス表が配られるオンラインバンクなら、マトリクス表はDBには入れない、という選択も可能です。このあたりは工夫でどうとでもなると思います。

共通パスワードに不安がある方はぜひどうぞ。やりきると気持ちのよいものですよ。

( 写真素材 足成：鍵穴 http://www.ashinari.com/2007/06/01-002264.php )

なんとなく、今までに買った(貰った)PCを列挙したくなったので書きます。自作PCはCPUを記述。

• WSX (MSX2+)
• PC-9801VX
• PC-Club
• PC-9821Ap
• MSX Turbo R ST
• MSX Turbo R GT
• X68000 XVI
• Pentium 133
• K6-2
• Libretto 20
• LOOX (初代)
• Let's Note CF-A3
• Athlon 600Mhz
• Pentium 3 1GHz
• Pentium 4 2.8GHz
• iMac 20' (late 2006)
• Macbook (late 2008)
• KOHJINSHA SX3WX06MA
• Mebius PC-NJ70A
• ProLiant ML115
• Athlon64 X2 5050e
• Athlon64 3500+
• PowerEdge/T105
• Core i7
• iMac 27' (late 2009)
• ThinkPad X300
• Macbook Air 11' (late 2010)
• Macbook Air 13' (mid 2011)

自作はパーツ選びが楽しかったなー。マカーに改宗したのでもうしないけど。

まあ1度乗っだけなので話半分に聞いてもらえればいいのですが、EVが普及するにはバッテリーの持ちと価格だけじゃん、ってことを体感したお話です。よく言われていることですが、身を持って感じたので書きます。

公称値の半分くらいしか走れなかった

carecoのプラグインステラ

乗ったEVはSUZUKIのプラグインステラです。2010年の春先あたりで、カーシェアリングのcarecoで利用しました。

当時の記憶ですが、プラグインステラはメインストリームのEVの中ではバッテリー容量がかなり少ない車種でした。80%充電で公称の航続距離80kmです。他車種は倍の容量で160kmでした。

まあ、これが、80kmとか、無理！でした。

走行したのは都内の一般道です。それほど寒くない日で、道路の混雑は気になるほどではなく、首都高速も利用していました。それでも、40km走れるかな？という具合でした。エアコンはつけずにです。

夕方になって寒くなってきたので暖房をつけると、さらに状況は悪化します。この調子だと全体でも30kmしか走れないんじゃ、、、って具合にバッテリーが減っていきます。このEVはフロントパネルに残りの走行距離が表示されるのですが、「ノコリ 17(km)」とか表示されたりして、焦りました。

ノコリ 17

渋谷〜神田を寄り道しながらの往復でしたが、帰れる自信が無くなったので途中で充電しましたよ。

急速充電器を提供しているカーディーラーで充電（無料）

結果的には充電してなかったら電欠（ガス欠）してました。あぶなかったー。

バッテリー以外は良かった！

でも、バッテリーのもち以外については、なんの問題もありませんでした。むしろ良かったです。

地下駐車場から道路へ出る急な坂道では、素晴らしいトルク(底力的なもの)でぐいぐい登って行きました。高速道路へ侵入する際の加速でも、なんの不安もありませんでした。

そしてなんといっても静かで、無駄な振動がありません。バッテリー以外で不満に思うことはありませんでした。

あとブレーキを踏むとバッテリーが少し回復するのですが、回復しているかどうかがメーターに表示されるのは何となく楽しかったです。

うまくブレーキを踏むと「CHARGE」にふれるメーター。

ってことはバッテリーだけ。あと、価格

当時の感想としてはもっと走れればなーってくらいだったのですが、今思い返してみると、「あれ？バッテリーしか問題ないじゃん？」って思いました。あと価格ですね。実感としては倍以上の価格感があります。

ってことは、バッテリーと価格さえクリアしちゃえば、すごい普及しそうだなあと思いました。走りも、一般的な車の中では良いほうですし、電費(燃費)もよいです。

まあ他にもバッテリーは寒さに弱くて寒冷地では向いてないとか問題はありますが、EVって、もうあとひといきなんじゃないかなー。