パスワード、メンテする
1passwordを導入した。
長文ランダム文字列…を入れようとしたがそこまで信用していないので、ランダム文字列生成サイト*1で生成して使用。
記号はサイトによって使えたり使えなかったりするのがなあ。使えずに拒否されるのはいいけど下手に通って「設定できるがログイン画面から入力できない」とかアホな目にあうのも嫌だし。
ついでに使用頻度の低いサイトからはクレカ登録抜いといた。
あと、パスキーも作る。
色々な「喩え」があるが、普通のパスワードが「開けゴマ」を盗み聞きされると第三者に扉を開けられるが、パスキーは『乱数表(暗号表)』を事前に渡すようなもので『山』と言ったら『川』、『森』と言ったら『友』と答えるよう表に書いてあるので盗み聞きして『川』だけ覚えて扉の前で叫んでも無駄という。まあ、アリババさんが扉を開けたら閉まる前にコッソリ入るとか、『アリババさん、オレオレオレだけどさ。あなたに逮捕状が出た。身の潔白を示すためには乱数表を提出しなさい』とかそういうのには無力だけど。
俺の理解
パスワード
アリババ:「開けゴマ」 →扉が開く
盗み聞きしたアラジン:「開けゴマ」 → 扉が開いてしまう
パスキー(ちょっと違うけど)
アリババ:「扉さん、登録して」→扉:「これ、パスキーのリストな」
アリババ:「扉さん、認証して」→ 扉:「3ページ目の4行目の合言葉は?」→アリババ:「開けゴマ」 →扉が開く
盗み聞きしたアラジン「扉さん、認証して」→ 扉:「6ページ目の3行目の合言葉は?」→:「開けゴマ」 → 「ブブーッ」
えー、昔オンラインバンキングで配った乱数カードもこれなんだけど、攻撃者がフィッシングサイトに案内して10文字程度の乱数表全部読ませると抜けちゃうんだよね。