Macbook Pro 2020(Intel)でWiFi接続時に間違ったパスワード入れたら消すの大変 2021年09月04日

Camera Matrimoniala +WiFi

出先で自分のMacbook Pro 2020をWiFiにつなごうとしたらWiFi接続用のパスワードをタイポしてしまいました。とりあえずそのままつながるようなそぶりを見せるが、パスワード間違ってるのでDHCPからIPも取れないし、その他の通信も出来ない状態。ま、これはあたりまえですな。

しかし、つながったSSIDの設定を消そうと思ってMacのWiFiの設定見ても接続したことのあるネットワークの一覧にそのSSIDが表示されない。じゃあとりあえずもう一回同じSSIDに繋げばSSID聞いてくるかなと思ってつないでみるとパスワード聞かずにつながった状態になるが、やっぱりパスワード間違ってるので通信はできない状態。うーん、これ、どうしたらパスワード再設定できるんや。。。。

と1時間ぐらい悩んでましたが、とりあえず下記のページの手順で消すことができた。

Macに設定・登録されているWi-FiのSSIDを削除する方法 ≫ 使い方・方法まとめサイト – usedoor

自分の状態だとたぶん、キーチェーンの中からクレデンシャル見つけて消す以外に方法なさそうです。なんかホント最近のMacは細かいところ使いにくいよね。。。

iOS7 Safariのパスワード記憶は。。 2013年11月26日

A password key?
“A password key?” photo by Dev.Arka

会社ではMS製品のNTLM認証のプロキシ配下でWiFiにつなげてインターネットに出ていた僕のiPad Airですが、前々からプロキシの認証をユーザID/パスワードを入れて、さらに「パスワードを記憶する」にチェックを入れてクリアしても事あるごとにパスワード認証のプロンプトが表示されて非常にうっとおしかった。多分、Appleの製品の場合Credentialがうまく引き継がれないのとバックで動いているプロセスの通信が再度プロキシ認証に引っかかっているのだと思う。

一日に何度もユーザ名パスワードの入力を促すウィンドウが表示されてその度に結構複雑な文字列を設定しているパスワードを入力していて、
さすがにめんどくさくなって、自動でプロキシのパスワードプロンプトに指定したユーザ名とパスワードを入れるアプリでも作るかな、と思ったが、既にあるような気がしたので見てみたら、iOS側のSafariの標準機能でパスワードの自動入力の機能があった。

まあ、Web上でのパスワード入力とプロキシのパスワード入力は動作のレイヤーが違うと思うので対応できないだろうなと思いつつ「設定」ー「Safari」ー「パスワードと自動入力」ー「ユーザ名とパスワード」をオンにして見たら、それ以降ほとんどパスワードを聞いてこない。ああ、なんだとっても快適じゃないか。普通にiOSの標準機能で対応できるじゃないか。

と思ってたら「ユーザ名とパスワード」の下にある「保存されたパスワード」というのを見てみてビックリ。iOSのパスコードの入力が必要なのではあるが(パスコードをiPadに登録してなければ聞かれない)、保存されてるパスワードを開くとなんと普通に平文でパスワードが表示されていた。

さすがにこれは怖い。。。ストアしているパスワードを”**”などの伏字で表示するならともかく平文で読める状態で表示するのはイカン。。なんでわざわざ平文表示してるんだろう??普通パスワードストアしてたら伏字表示して、「こことここのサイトのパスワードは保持してて入力の必要はないですよー。でもリスクも把握しといてねー。」ということでわざわざユーザに見える形にしなくてもブラウザなどで該当のサイトと関連付けておいて、そのサイトを開いた際にはブラウザが自動でfill inすればユーザで見えている必要もなく問題ないはずなのに。。。

というわけでちょっとこの仕様がイマイチ理解できないっす。とりあえず僕のiPad Airは該当のプロキシの認証だけは記憶させて、それ以外は記憶させないようにして、パスコードも数字4桁よりも複雑なもう一段階上のパスワードを設定しておきます。。。ホントはオフにしといたほうがいいと思うけど、まあ、利便性との天秤ですなぁ。。。

パスワードの使い回しはホントにやめたほうがいい 2013年06月19日

ENTER YOUR PASSWORD
“ENTER YOUR PASSWORD” photo by marc falardeau

今年の頭、Twitterのユーザ名/パスワード流出事故の際に僕はほぼ全部のウェブサービスのパスワードを変更し、それぞれすべて異なるパスワードを設定しました。

最近、同僚や友人と話しているとやっぱりまだ同じパスワードをほぼすべてのサービスに使っている、という人が多くてびっくりする。今まで僕自身もあまり気にしてなかったけど、やっぱりこれって気をつけたほうがいい。

漏れたユーザ名とパスワードのセット、僕が悪意を持って利用するなら、まず手に入れたユーザ名の後ろに@gmail.com、@hotmail.com、@yahoo.comなどをつけて流出したパスワードとのセットでログインできないか試みる。FacebookやTwitterを乗っ取るとかは別にどうでもいいけど、SNSでその人がどの国に住んでいるかがわかればその国の主要な銀行のオンラインバンキングのログイン画面で流出したユーザ名/パスワードでログインできないか試みる。またはGmailやHotmailにログイン出来ているなら「パスワード」で検索してその人が使っているオンラインサービスを調べてログインを試みる。あ、後Paypalもトライしてみるかな。

これら、同じパスワードを使いまわしていたら高確率でログインできてしまう可能性が高い。

「でも今まで特に問題ないよ」

と言われる方。既にトライアルは終了していてログイン可能なアカウントとして誰かがストックしてるかもしれない。ここぞという時を見計らってやられるかもしれない。結構な数のアカウント(メールやSNSなどさして影響度が高くないアカウントや金融系などの直接金に結びつくアカウントまで)が既にハッキングされて、ログインが成功することまで確認してまだ何もしていないかなりの数のアカウントのリストが作成されていて裏でいろいろとサイバーヤクザな人たちの間でやりとりされてるんじゃないかと想像してたりします。

なので、可能な限りパスワードは異なるものを使いましょう。できればツールで作成した大文字+小文字+記号を取り入れてランダムな10文字以上のパスワード。これでは複数のパスワードを人間が覚えきれないのでツール必須になりますが、やっておく価値は高いと思います。。。

Twitterのサイバー攻撃を受けた件にてパスワード管理を再考 2013年02月02日

Interesting approach to computer security
“Interesting approach to computer security” photo by formalfallacy @ Dublin (Victor)

2月2日の土曜日、朝飯を食った後だろうか、携帯でメールを見てみるとTwitter社からメールが届いていた。内容は、

Twitter believes that your account may have been compromised by a website or service not associated with Twitter. We’ve reset your password to prevent others from accessing your account.

ん?ハッキングすか?このメール自体がフィッシングで釣りなんじゃなかろうかと思いつつPCや携帯でTwitterを触ってみるとパスワードなんか変更しなくても新しいTweetが取ってこれる状態。メールで”We’ve reset your password”と現在完了形で書いてあるのにまだ全然パスワード有効なんすけど。。。

そんなことをやってるうちに友人が「ニュースか何かでTwitterがハッキングにあったっぽいて言ってましたよ」と教えられる。ニュースサイトなどを覗くとホントにそんな記事が載っている。

緊急速報: Twitterのパスワードを今すぐ変えなさい

しかし、僕のアカウント、Twitter社からメールは来てるもののパスワードはResetされておらずホントに要パスワード変更のアカウントなのかどうかもよくわからず。しかし僕のTwitterアカウントは乗っ取られても大した問題ではないが、問題は同じパスワードを僕が他のサイトでも使っていること。もしホントにTwitterで設定しているパスワードが流出してた場合、TwitterのProfileから僕のブログは特定可能で、そしてブログを読んでいくと、どこそこの銀行のネットバンクは使いにくいだの、セキュリティ的にどうかと思うだのといろいろ書いているのを見つけたら、まずそのネットバンキングのアカウントは持ってるはずなので同じIDとパスワードセットでログインが可能かどうかを試すはずだ。てか僕が悪意を持ってハッキングするならそうする。人は得てして同じパスワードを使いまわしたがるから、そのような情報から銀行や証券会社のログインを片っ端から試されて、ログインできてしまうサイトがあるかもしれない。

というわけで午後からは歯医者に行かなければいけないのでとりあえず侵入されるとイタイ被害の出る銀行や証券会社系のサイトのパスワードをテンポラリのものにすべて変更。これでとりあえずTwitterで登録してるパスワードで侵入されることはないだろう。facebookとかは最悪乗っ取られてもまあ大した被害ではないのだ。

そして歯医者で歯石除去を終えて帰ってきたらTwitterのユーザアカウントに入れなくなっていた。やっとパスワードリセットされたか。

散々歯医者に行ってる間にも考えてたが、やはりWebサービスなどのパスワードはそれぞれ全部違うパスワードを適用すべきだという結論に至った。「そんな大げさな」という人も居るかもしれないが、実際に僕は仕事で客先のサーバに外部からパスワード認証を正規に通って入ってくる不審な通信をリアルタイムに何回も見てたりするし、まさかこんな個人のパソコンや有名人でもない個人のパスワードを狙いに来るはずはないと思っていたって”第三者中継が許可されたままのメールサーバ(外部から接続して外部のサイトへメール送信が可能になっているサーバ。通常は外部>内部、内部>外部のメールしか受け付けないように設定する)”然りで、スパマーやハッカーはしらみつぶしにオンラインになってるサーバやサービスを辞書ツールなどを使って入れるサーバがないか必ずやってくるものだと思っている。だから今回Twitterの件では同じパスワードをいろんなサイトに設定してるリスクと、漏洩発覚後の後処理がTwitterのサイト以外でも数多くのサイトでパスワード変更を必要となることを考えるとこれはサイトごとに固有のパスワードを適用するほうがメリットがあると考えた。

そしてパスワードは英小文字、英大文字、数字、記号を混ぜてデフォルトの桁数を自分の中で定義。サイトによってはパスワードの桁数がもっと短く制限されてたり、記号が使えないなどあるが、デフォルトはこのような形でツールを使って意味を持たないランダムなパスワードを作成する。前回は英小文字、英大文字、数字、記号を含んだパスワードだったが、なんとか自分で語呂合わせで覚えられるものを使っていた。それを複数覚えるのはめんどくさくて同じパスワードを他でも使ってたわけだ。今回は覚えるのが困難なランダム、それで個別パスワード。だからそもそも覚えることはしょっぱなから諦める。

そしてこのパスワードルールの運用に関してはツールが必須だと思い。LastPassを使ってみることに。有料だけど年間で12USDと安いし、思ったものと違うなら次に更新しなければ良いだけのこと。とりあえずこのLastPassがブラウザなどで入力補佐機能が豊富のようだ。ただ、スマートフォンやタブレットでは基本アプリをインストールして初起動した際にIDとパスワード入れたら後はほとんど入力することはなくなる。そしてPCでもほとんどの場合ブラウザでパスワードの記憶ができるのでもしかしたらパスワードの入力補佐機能というのはあまり重要でないかもしれない。その辺はしばらく使ってみて実際どんな感じなのかを見て行きたい。

これで銀行、証券会社、SNS系、ブログやホスティング系のパスワードをガーッと全部変更をかけた。とりあえずこれで一安心でしょう。ただ一点懸念点として、このLastPassはクラウド上でパスワードデータベースを持つ。当然暗号化されているものの、このサイトがハッキングされたらモロにやばいのであります。なので最近知った、Google認証システムでLastPassのログインアカウントに対してワンタイムパスワードを適用。ワンタイムパスワードは1分でパスワードが変更されるので、基本そのワンタイムパスワードデバイスを持つものしかログインできなくなる。そしてホントにLastPassの情報が漏洩した際にどのサイト、どのサービスから緊急でパスワードを変更して行かないといけないのかを示すプライオリティ表を作成してどっかに保存しておく。もしLastPassから漏れちゃった、という情報があれば即座にその順番でパスワード変更をかけるという形で対応しようと思います。

現状パスワード管理ソフトに登録してるサイトが何十もあるのでそれぞれ別のパスワードを設定、というと気が遠くなるけどとりあえずやってみることとします。しかしGoogle認証システム、これはスマートフォンにインストールするアプリで電話をワンタイムパスワードデバイスとして機能させることが可能。SecurIDなどこの技術って10年前ぐらいからある技術だから特には驚かないけど、それをGoogleがコンシューマー向けに無料で公開してることが凄い時代だなあと感心したりします。