【提言】Heartbleedが求める緊急対応、文字パスワードを賢く使うために | IT Leaders

いや，「暗証画像カード」はないわ。海外からも注目されているというのも俄には信じがたい。これのどこがこれまでのパスワード方式よりいいというのだろう。分からん。

パスワード方式の問題のひとつ（そして最大の問題）は遠隔の相手と秘密情報を共有しなければならない，という点だ。この点をクリアできない全ての認証方式はパスワード方式より優れているとはいえない。

でも現実はパスワード方式で認証させるサービス・プロバイダが殆どなので，パスワードの強化と安全な管理の両立を目指すしかない。それにはもう人間の記憶に頼るのは無理なのだ。（だから「暗証画像カード」は「ない」のよ）

というわけで，例によってパスワード管理ツールの利用をお薦めする。個人的にはオープンソースの KeePass がお薦めである。

参考： パスワード変更は計画的に -- Baldanders.info

実は，相手に秘密情報を与えずに安全に情報をやりとりする方法は1970年代から存在する。それが「公開鍵暗号（public-key ciphers）」だ。そして私たちは既に日常的にそれを使っている。 SSL/TLS は認証方式にこの公開鍵暗号を使ってる。 https で相手にアクセスする際にパスワードを求めたり求められたりしないでしょ。でもちゃんと相手を正しく認証できてるのはこれのおかげ。あと UNIX 系ではリモートマシンとの接続方法に SSH/OpenSSH というのがあって，これも公開鍵暗号を使って認証を行う。相手にログインするのにパスワードを打つなんてもう古いのだ。

この辺の暗号周りに興味のある方は是非 Steven Levy の『暗号化』（原書のタイトルは “Crypto”）を読んでみることをお薦めする。