その方法が下記の記事で説明されています。
Passwords On Post-its? You Bet!(klaatu)
パスワードを記入した付箋をモニターの横に貼り付けられたらどんなに楽だろうか…と思っている人は世界中に溢れている事実を突いた記事です。
しかしながら、この記事が公開された以上(いや公開されていなくても…)、この記事に書かれていることをそのまま実行してはいけないのは当然ですが、考え方としては興味深いので、一応の種明かしをしてみます。
Choose a letter or number that will be your "personal" password. One single character. Add that character to whatever password you have, anywhere in the password. The only caveat is that you must ensure that any password you use does not already contain that letter or number.
意訳すると…
例えば、システム管理者から受領したパスワードが『Oykxd5PaWe』、私が設定した「固有」パスキャラクタが『9』とすると、新たに『O9ykxd5PaWe』という新パスワードを作成するわけです。
で、この『O9ykxd5PaWe』はポストイットに記入して目に付きやすいところに貼っておくのだそうです。もちろん実際にログインする場合は自分の頭の中で『9』を除去したパスワードでログインするのだそうです。
えーー(;´Д`)
これだと悪意ある侵入者はポストイットに堂々と記入されたパスワードからその文字数分の試行で真のパスワードを盗むことができてしまいます。
却下。終わり。今年最初のトンデモ記事認定(笑)
さらに、同記事には第二の手法が追記されています。
すなわち、発行されたパスワードから「固有」パスキャラクタとして設定した一文字を除去した新パスワードを使う…です。
第二の手法は幾分かはマシでしょうけど、それでもこの偽パスワードを記入したポストイットを貼りつけておくというのは、やっぱり駄目です。貼る場所がキーボードの裏でも駄目。駄目ったら駄目。
というわけで、この記事として大きな反響を呼び、dig などではさんざん罵倒されたようで、とうとう下記の釈明記事が公開されました。
But What I Really Meant To Write Was…(klaatu)
長いので途中を飛ばしてしか読んでいませんが、「ポストイットに貼ったりするのは行きすぎだったけど、変換手法をもう少し複雑にすることもできるので、メリットが全然無いわけではないだろう…」みたいな趣旨と解しました。
恣意的な変更が許されないパスワードを使わせられ、それが何日かおきに変更されるような環境に私は身を置いたことはありません。ですが、そうした状況でも管理者から対策が提示されることもなく、ユーザが何らかの形で自衛しなくてはならないことは理解できます。
まあ、うまくやって下さい。ただ、やっていることはブログには公開しないほうが吉だと思います。
結局、手入力のパスワードによる認証方式は限界がありましょう。
