2009/07/14

パスワードの運用を考える

Webサービス系のパスワード運用を変えてみようかなと考えている所です

  1. 忘れないように頑張る(現状)
    1. 定期的に思い出す=入力する
      1. ブラウザにパスワードを記憶させない
      2. ログインセッション(Cookie)の保存期間を短くする
    2. 忘れにくくする
      1. パターン化する、法則性を持たせる
      2. 使いまわす
  2. 忘れても平気なようにする(妄想)
    1. 敢えて覚えない(ジェネレータで適当に作成する)
    2. リログが必要になる度にパスワードの再発行
    3. ログインセッション(Cookie)の保存期間は発行者指定
      1. 期間が短い場合、ブラウザにパスワードを記憶させる
        1. 適当な期間で手動再発行
      2. 期間が長い場合、ブラウザにパスワードを記憶させない
        1. Cookieが消えたらパスワード再発行

2については、書面ではなく、メールなどでパスワードの再発行が出来るサービスが前提です。

1-1-2について、FirefoxではCookieの保存期間を(発行者の指定を無視して)指定できます。

キー名 機能 初期値
network.cookie.lifetimePolicy Cookieの保存期間
0:サイトが指定した期限まで
1:毎回確認する
2:Firefoxを終了するまで
3:network.cookie.lifetime.daysで指定した日数
*オプション画面からは0~2しか選べません
0
network.cookie.lifetime.days network.cookie.lifetimePolicyが3の場合の日数
*Configuration Mania :: Add-ons for Firefoxで変更可能
90

lifetimePolicyに3を設定するのがオプション画面からも、Configuration Maniaからも出来ないみたいです。一度about:configなどから変更する必要があります。

定期的に入力するなら、個人的には2週間~1ヵ月くらいが妥当だと思っています。

とりあえず移行に際して、利用中の主だったサービスのパスワード再発行手順を確認しないといけないのがネックです。

参考: