1+2+3+・・・・ = -1/12 日記

2009年9月に出た1巻から楽しみに待っていた第2巻。

絵が可愛いっすよねー。私の好きなドレス系ですし。

物語は意外と昼メロみたくドロドロしてる部分が多いんですが^^;
でも最後はさわやかにまとまっていい終わり方ですよ！

物語は全2巻、これにて完結。
掲載雑誌の月刊プリンセスでは今月号から新章が始まって藤岡ようこさんの連載も続くようなので一安心。

「できれば簡単に覚えれて、堅牢なパスワードの作り方3（2010/03/17)」

今までに出てきた言葉の「複雑さ（分岐量）」をまとめましょう。

・日常で使われる単語、日本語・英語問わず。
　　1単語につき2万。
・ファンタジー系に出てくる固有名詞
　　カタカナ1文字につき110。

それぞれに数字の数だけ分岐があり難解度が上がる事になります。

例を出して計算すると
　samidarerikuumuhalf（五月雨・リクーム・ハーフ）
と言う文字列の場合、
　単語・固有名詞カタカナ4文字・単語
なので「単語×固有名詞カタカナ4文字×単語」でできる総組み合わせ数は
　20000×110⁴×20000＝5.9×10¹⁶

もし「単語×固有名詞カタカナ4文字×単語」の全組み合わせの中から「五月雨・リクーム・ハーフ」
を当てようと思ったら5.9×10¹⁶回の試行回数が必要と言うことです。

10年ロック＝6.3×10¹⁵回
なので堂々の突破。おめでとう！
19文字と相当長いですが。(^^;

単語は文字が多い割に分岐量が少なく効率悪いのでなるべく固有名詞を使いましょう。

例として「リクームベジータ」みたいな架空固有名詞を使ったカタカナを8文字並べれば分岐量は
　　110⁸＝2.1×10¹⁶
でこれでも10年ロックより大きくできます。
（あと繰り返しますがリクーム・ベジータは例に使っただけで実際には別のマイナーな名前を選びましょう。）

ここが落としどころでしょう。
結論：架空の固有名詞を並べたカタカナ8文字なら10年ロックを越えられる。

大小アルファベット・数字・記号を全て混ぜた8文字「t4i#U!y,」も
ローマ字で打った小文字オンリーの～16文字「rikuumubejiita」も
パスワード破りに対する堅牢さはほぼ同じ。
後はどっちが使いやすいか個人の好みかと。

私も架空固有名詞のカタカナ8文字以上でパスワードを作ってます。
何より断然覚えやすい。苦痛にならない。

方法を明かした上で
パスワードの元になった本、および名前を推測するのはまず無理だろうって
自信があるのでいいんですが。
生成ルールがわかっていてもまだ解けないってのは強固な暗号に求められる要求でもあります。

最後に重要な事ですがパスワードは端末レベルによって2～4個使い分けましょう。
最低でもメールアカウントや会員制サイトのログインなどの「低」レベル（住所氏名が入ってる程度）パスワードと
銀行の暗証番号などの「重大」レベルパスワードは絶対別にしておくべきです。
セキュリティの浅いレベルから何らかのアクシデントでパスワードが漏れると
銀行のパスワードまで一緒にバレてどんな苦労も台無しです。

「できれば簡単に覚えれて、堅牢なパスワードの作り方2（2010/03/15)」

前回の復習。
　小文字を使うだけでも12桁の長さにすれば10年破られない強度のパスワードは作れる。

・・・・ただし実際には問題があって
パスワードのクラックには辞書から単語を拾い、単語単位で片っ端からアタックするアプローチからの
辞書総当たり法もあって単語ベースにパスワードを作ると一瞬で開けられてしまいます。

例えば「samidarehalf(五月雨、ハーフ)」のようなパスワードを使うと
文字数は12文字ですが
日常的に使われる範囲の言葉・名詞などを網羅した英語辞書1万単語＋日本語辞書1万単語＝2万単語から全組み合わせをサーチすると
単語二個なら
　　2万²＝4.0×10⁸回
の試行回数で単語2個から成るパスワードを全パターン走破。
10,000,000試行/秒のPCならわずか40秒で破られてしまう事になるのですね。

本当に欲しいのは何の規則性もない12文字の小文字、「grjobxplicuq」とか。それならクラックしようのない堅さを保てるんですが
実際は既存の単語わずか2万個の中から選んでしまった時点で全然ランダムじゃなかった。

これを突破する一つの方法は架空の固有名詞を使うんです。

　1．自分は知ってるけど、他の人は知らないようなマイナーな小説・映画・アニメ・ドラマ・マンガ・ゲームの、
　2．ファンタジー系の、珍しい名前の登場人物、地名、物（少なくともこの作品以外では見たことない）。

を満たすような。
例えば「ベジータ」、「リクーム」、「サイヤ」など。
あくまで例で。実際にはこんな有名な作品を使ってはいけません。

これなら辞書には載ってないのでランダム性はかなりマシになりましたが
実はまだ足りないんです。
ローマ字で記述してる時点でランダム性が失われている。

なぜならローマ字も見方を変えれば「a,i,u,e,o,ka,ki・・・・,ga,gi,・・・・,pa,pi,・・・fa,fi・・・kya,kyu・・・・dhi,dhu・・・」
の「ローマ字打ち方辞書」から単語を選んで
つなぎ合わせてるのと同じなので
ローマ字で12文字打ち込んでも実際に出てくるパターンはせいぜい
　　ローマ字打ちとして成立する組み合わせ1～3文字×6回＝110ぐらい⁶=1.8×10¹²
しかない。
これが前回でも書いた49時間で破られるわけになるんです。

えーっと・・・・じゃあどうすればいいか。

また桁を増やすんです。(^^;
複雑さが足りないなら10年ロックに必要な6.3×10¹⁵回を越えるまで長くすればいい。
実はあと4文字足すだけでいいんです。
続きは次回に。

「できれば簡単に覚えれて、堅牢なパスワードの作り方（2010/03/13)」

前回で書いた通り
フラッシュメモリはTrueCryptで暗号化しておいたのですが
そこで重要になってくるのはパスワードの管理。
どんなパスワードを作ればいいのか一考してみます。

いいパスワードってなんでしょうか。
一般的に言って
　システム側に取ってのよいパスワード：規則性がなく、難解である事。小文字、大文字、数字、記号を全部混ぜる。（例：t4i#U!y,）
　ユーザー側に取ってのよいパスワード：規則性があり、覚えやすい事。（例：oboeyasui）
見る立ち場によって「いい」の意味が違うので正解なんてないんですけどね。(^^A;

難解にすればするほど強度はあがりますが、ユーザーには使いにくくなる。
単純にすれば使いやすいですが強度は落ちる。
このバランスをどう取るか。

私自身の個人的なパスワード事情を話すとー・・・・
パスワードは小文字オンリーとしてます。
これはキーボードからの打ちやすさをまず第一に考えて。

セキュリティ的に見ればシンプル化はむしろ問答無用のNG行為ですが
私の持論としてはパスワードは使えてなんぼ、覚えれてなんぼ。

難解なのを設定して「タイプするのが面倒くさくて打ちたくない」なんて思わせるようになってしまうと
ユーザーはパスワードをどこかのメモ帳にでも
書き留めておきそこからコピペするようになってしまいます。
そうするとセキュリティも何もあったもんじゃない。

だから覚えやすいように、打ちやすいように小文字オンリー。
その代わりに桁を増やして堅牢性を稼ぐ。12文字以上。

12文字なら安全と言えるのか。
それを知るにはパスワードの構成法とそれぞれの強度について考察してみましょう。

パスワードを破るための古典的な方法に総当たり法があります。
思いつく限りの組み合わせを全て試して
かたっぱしから破っていくのです。

Password Recovery Speedsの資料によれば
2010年の標準的なデスクトップPC(2.5Ghz x 2コアぐらい？)で
10,000,000パターン/秒が計算できます。

10年間破られなければ実質問題ないとして
（10年も立てば大抵の情報は古くなり利用価値がなくなるでしょう）
10年を秒に直すと60秒x60分x24時間x365日x10年＝3,153,600,00秒

データを奪った泥棒がデスクトップPC1台でこの時間だけをPCをフルにぶん回すと
　　3,153,600,000×10,000,000＝3.1536×10¹⁵回。

でも実際にはn年経過の時点でn/10の確率で破られます。
0～10年のどこかで破られるので平均寿命は5年。
平均の寿命を10年にしようと思ったら最悪20年で破られるよう強度を倍にして
　　6.3×10¹⁵回
これが平均10年持つために必要な強度。

一般的にそこそこ強いパスワードとして推奨される「小文字、大文字、数字、記号の組み合わせ(96キャラクター)×8文字」だと
　　96⁸=7.2×10¹⁶パターン。
10年ロックを越えるので安全と言われる由縁ですね。

それでは私の使ってる方法はどれぐらいでしょう。
小文字と言っても実際は「Q、X」など日本語にはまず現れない
文字もあるのでキャラクター数はさらに少ないです。
具体的にはローマ字で一般に使われるのは
「母音列あいうえお、子音列あかさたなはまやらわ、濁音列ガザダバ、半濁音パ。それにフェ、ジャなどの外来語から来る単語」で
aiueo、kstnhmyrw、gzdb、p,fjの21キャラクター。使われないのがclqvx。

21キャラクターを使って12文字を作ると組み合わせは
　　21¹²=7.4×10¹⁵パターン
なので、この方法でも10年ロックを越え一つの安全基準となるわけです。
13文字ならこの21倍の強度、平均245年。14文字ならさらに21倍、15文字ならさらに21倍、etc
小文字だけでも桁さえ増やせば強度は問題なく稼げるわけです。

ただしローマ字をそのまま使うと「ローマ字タイピング辞書」に載ってる単語しか現れなくなるため
パターンが狭くなり実際は
21¹²=7.4×10¹⁵どころか多分110⁶=1.8×10¹²ぐらいの組み合わせしかできません。
これはわずか49時間で破られる。

次回にはその辺の解説をば。

「フラッシュメモリ（2010/03/08)」

モバイル機での暇つぶしデータ持ち歩き用にMicroSDメモリ16Gを購入。

ついでに超極小USBカードリーダーも。

フラッシュメモリの容量アップ＆値下がりもいよいよ終着点でしょうか。
ちょっと調べるとMicroSDカードでは2008年の10月に16Gが出たっきりもう一年半も最大容量更新が来てませんし。

詰まるところは半導体。シリコンにどれだけ細い溝を掘れるか。
超スロースターターだったのでメチャクチャ伸びる余地がありましたが
今ではCPUやメモリと同じ半導体の最先端に追いついてプロセスルールの壁に
ぶつかったようですねー。

この後はやはりCPUやメモリと同じく技術的には年10～20％の成長ぐらいが限界でしょうか。
（工場の減価償却による値下げ、および原価が下がった事による高品質パーツ投入での容量アップは
　まだしばらく続くでしょうが。）

個人的には100Gぐらいあればありったけ端から放り込んで
容量制限を気にすることなく使えたんですがまあ16Gでなんとかやりくりしよう。

さて、まずはニュースでたまに流れる「うっかり(忘れ物/落とした)フラッシュメモリからの情報漏洩」対策に暗号化を行います。
個人情報や機密データは入れるつもりないですが念のため。

仮にフラッシュメモリをPCに繋いだ時に出てくるのが「a:」ドライブだとすると
TrueCryptと言うソフトを使いそのドライブ(パーティション)全体を暗号化します。
（詳しい使い方はWebのどこかにあるTrueCryptの解説ページを見てください）。

暗号化が完了するとa:ドライブはグチャグチャにされ
a:にアクセスしようとしても読めない壊れたドライブ扱いになります。

復号（暗号を解く）する時はまたTrueCryptを使い
　対象ドライブにa:を指定、マウント先ドライブにb:を指定、解除パスワードを入力
の3手順でマウント。(パスワード以外は自動化可能)

すると「b:」ドライブが出現し
後はそれが本当のドライブと同じように振る舞うので
b:ドライブから普通に読み書きを行うだけです。

以降はPCの電源が落ちる、またはUSBメモリが抜けると
マウントが解除されb:ドライブ消滅。
第三者にフラッシュメモリの中身を見ることはできなくなる仕組みです。

電源を入れる/抜き差しする度にいちいちパスワード入力が必要になるので
生で使うより当然面倒ですけどね・・・
利便性とセキュリティ性は相反するのでしょうがない。

別のUSBフラッシュメモリーに入ったファイルのパスと内容をキーにする事で
USBメモリを物理ロック/キーみたいに使う機能もありますが
バッグごと紛失したりキーが奪われたら逆に誰でも解除できる事になるので
ちょっとセキュリティ的には疑問符かなっと。(^^;

「トレビーノ（2010/03/03)」

浄水器トリビーノの交換カートリッジ（2個入り）を購入。通販で2200円。
1つのカートリッジで200L持つので5円/リットル。
安い。

2010年02月の日記
最新の日記

1+2+3+・・・・ = -1/12 日記

「てけてけマイハート（2010/03/29)」

「看護学生のないしょ（2010/03/26)」

「相性（2010/03/23)」

「神曲奏界ポリフォニカ（2010/03/19)」

「できれば簡単に覚えれて、堅牢なパスワードの作り方3（2010/03/17)」

「できれば簡単に覚えれて、堅牢なパスワードの作り方2（2010/03/15)」

「できれば簡単に覚えれて、堅牢なパスワードの作り方（2010/03/13)」

「フラッシュメモリ（2010/03/08)」

「トレビーノ（2010/03/03)」