パスワード(ぱすわーど/password)
FFXIに関わるものとしては、ゲーム外では


またゲーム内では、画面に「パスワード?:」と表示されて文字列の入力を求められることがある。本来の意味でのパスワード船宿謎の装置など)入力に用いられることもあるが、相性を占いたい相手の名前を入力する場合にも使われるなど、プレイヤーから選択式ではない回答を得る場合に使用される共通のフォーマットである模様。


プレイオンラインパスワード

対となるプレイオンラインIDと組み合わせることで、利用者の本人であることを確認する現時点で唯一の手段である。
これを失うとPOLのすべてのサービスが事実上使用不能となる。

再度復帰させるためにはPOLサポートデスクに電話かチャットで連絡が必要となる。
オペレーターの指示に従って処理を進める形になるので、詳細は書かない。
オペレーターの指示に従うこと。

一事案につき、10~30分程度の質疑に答えることになるため、時間にはゆとりを持って連絡したいところである。
しょっちゅう立て込んでいるサポートデスクであるが、どうにもこれが原因のようだ。

運用ルール

初回はプレイオンライン利用登録時に発行され、後日正式に郵送で再確認することになる。
通常は英数混在の8桁のパスワードが発行され、後日綴じ込みのり付けの登録完了通知はがきで平文のまま登録者に通達される。

下記の理由より、通知を受け取ったならば速攻で書き換えることを勧める。

パスワード強度

プレイオンラインパスワード自体は最低8桁、最大15桁までが設定可能。
使用可能文字種は、
  • 半角数字
  • 半角英小文字
  • 半角英大文字

のみである。

ちなみにこの程度の桁数と文字種では、攻撃対象者が本気で攻撃を仕掛けたものとして、保っても1~2ヶ月程度の命である。

ランダム小文字+数字の8桁以上なら事実上突破不可能である。
オンライン認証はローカルの総当りとは違う)
しかし数字8桁はおすすめできない。

セキュリティ

無制限の試行は許可されておらず、3回誤ったパスワードを入力することで数分間の認証禁止ペナルティが発生する。
総当たり攻撃に対する最低限の保証はされている。

パスワード変更

プレイオンラインログイン後、メインメニューの「サービス&サポート」→「会員情報」→「プレイオンラインパスワード変更」から手続可能。

メールパスワード

ほぼプレイオンラインパスワードに準ずる。
重要性は低いので、無くしたとしてもプレイオンラインパスワードほど致命的ではないが、再復帰に掛かる手間は同じである。

重大な問題

プレイオンラインパスワード運用プロセスには、下記の大きな問題が存在する。
  • 上記のパスワード使用可能文字種がわかりやすいところに明示されていない。
  • 登録パスワードに指定外の記号が入力でき、受付時に無視される。
  • 設定文字列に制限があるのに入力文字列は無制限である。

上記で何が起こるかというと、登録時に文字列内に誤って指定できない文字を打ち込んでしまうと、その文字は入力されていないことにされて登録が完了してしまう点である。
利用者は次に同じパスワードキーボード入力しても、今度は無効だったはずの文字が有効とされてしまうため、登録時と入力時のパスワードが一致しないという事態に陥るのである。

そして極め付けは、間違えたパスワード復帰するためには平日のAM11:00~PM19:00の間に電話かPOLチャットで連絡をしなければならない点である。
つまり、金曜の夜に何らかの事情でパスワードを変更してトラブルがあった場合、月曜までログオン不能になるという事を意味する。
運営のサポートが甘い、不十分とこき下ろされる原因の一つである。
ユーザーの側でも、週末にパスワードを変えない様、または変える必要が発生しないように自衛する必要がある。

具体例

キーボードより、

 3o!0qhd<2@ag;jr09

というパスワードを設定したとする。
POLでこのパスワードは15文字・記号抜きと勝手に解釈されるため、

 3o0qhd2agjr09

に断りもなく自動で変換される。
そしてユーザーには微塵もその事実が通知されないので、

 3o!0qhd<2@ag;jr09 ≠ 3o0qhd2agjr09
(キーボードから入力したパスワードPOLが受理したパスワード)

で不整合が生じ問題が発生することになる。
逆にこの原理が判っているのであれば、元のキー入力から記号を抜いて打ち込めば良いので、サポートデスクに電話する前に試してみるのがよい。

ユーザパスワード

POLでメンバー登録した際に設定できるパスワード。これを登録すると、メンバーリストからパスワードを登録したメンバーを選択する際にパスワードを打ち込む必要がある。

複数の人でプラットフォームを共有している場合などで、自分の登録した情報を他人に見られたくない、もしくは勝手に登録情報を使われたくない場合に有効。

単に自分のアカウントログインされたくないだけならPOLパスワードを毎回手打ちするという方法でも良いのだが、セキュリティの要求レベルはPOLパスワードよりも低い*1ので、POLパスワードは複雑にしてハードに記憶させ、ユーザパスワードは覚えやすい簡易なものにするという使い方をしても良いだろう。

スクウェア・エニックス パスワード

スクウェア・エニックス アカウントパスワード

スクウェア・エニックス アカウントを登録した後、POLリンクさせると、POLログインするたびに毎回このパスワードの入力を求められるようになる。2009年4月現在ではハードに記憶させることはできないが、ワンタイムパスワードを使わない限りリンクは必須ではないので、パスワードの入力がめんどくさいならリンクはしないほうが良いだろう。なお、1度リンクしてしまうと解除できないので注意。

間違えた場合

このパスワード、及びワンタイムパスワードは、何回か間違えて入力するとロックがかかり、しばらくログインできなくなってしまう。ただし、この時POLで表示されるメッセージは「パスワードが間違っている」という事実と異なる内容であり、「パスワードは合っているはずなのに間違っていると言われる」状況に陥る。

Web上でスクエニアカウントログインするときには「パスワードを何度か間違えたので数分間ログインできない」という正しいメッセージが表示されるので、本当にパスワードが間違っているかどうかはこちらで確認すると良いだろう。もっとも、実際にはログインできるようになるのに10分ほどかかるので、微妙に正しいとは言いがたいが…。

パスワードの要件

半角8文字以上32文字以内である必要があり、大文字/小文字は区別される。また、以下の条件に該当するパスワードは登録できない。
  • 英字のみ、数字のみ、記号のみの組み合わせ  
  • スクウェア・エニックスIDと同じ文字列  
  • メールアドレスの@前と同一の文字列  
  • 同一の文字を3文字連続で指定したもの

ワンタイムパスワード

認証のために1回しか使えない「使い捨てパスワード」のこと。
FFXIでは、スクウェア・エニックス アカウントPOLを連動させ、セキュリティトークンのシリアル番号を登録することで使えるようになる。

実現にはいくつかの方式があるが、スクウェア・エニックス アカウントで使用されているのは30秒ごとにパスワード(6桁の数字)が変わる時間同期型のワンタイムパスワードである。

このパスワードは個々のセキュリティトークンによっても異なっているため、仮にワンタイム以外のパスワードを他人に知られたとしても、セキュリティトークンを盗まれでもしない限り不正にアクセスされることはない。そのため、セキュリティレベルを飛躍的に高めることが出来る。

反面、毎回異なる数字を入力しなければならない、セキュリティトークンを紛失したり電池が切れたらインフォメーションセンターに連絡の上再度購入しなければならないなど、使い勝手において不便を強いられる面もある。くれぐれも紛失しないよう注意しよう。

パスワードセキュリティに関する雑学

パスワードがバレる訳

  1. 簡単すぎるため類推される。
  2. キーロガーから入力を抜かれる。
  3. 暗号化した通信を傍受され、復号される。

大抵は上記の3つからパスワードを抜かれることになる。

昨今の不正アクセス被害は、主にネットから拾ってきた出所不明のプログラムに仕込まれたキーロガーによって、正規のパスワードを抜かれることによって起こる。

また、平易な無線などでPOLへ飛ばしたパケットからパスワードの暗号文を傍受され、復号解析用のコンピュータで解析される、という事も昨今の技術普及度では容易になっているので、相応に警戒すべきである。

また、ネットカフェなどから使った指紋などで類推されるなどと言う都市伝説もあるが、物理的に不可能ではない点で、警戒を要するだろう。

最近ではさらに、自らに身に覚えがない場合でも、他所で設定したID、メールアドレス、パスワードと同一の組み合わせものを使用している場合に他所から流出されることで、アカウントに侵入されるという事例が目立っている。プレイオンラインIDは任意に選択できないが、スクウェア・エニックス アカウントの場合、好きなワードを使用したIDの他に、登録したメールアドレスによるログインも可能であるため、注意したほうが良いだろう。

対策

  1. 英語ベースのパスワードを設定しない。
    英語ベースのパスワードは辞書攻撃などで簡単に抜かれてしまう。
    パスワード日本語ローマ字ベースにしたり、キートップのかなを使ってアナグラム化するなどで、海外からの脅威をほぼ潰すことは出来るようになる。

  2. 拾ってきたものは使わず、プログラムの通信を監視遮断できるファイアウォールを導入する。
    端的には通信するから不正にパスワードを抜かれるわけで、通信させなければそういった感染をしていても安全であると言える。
    この対策のためにファイアウォールを活用するわけであるが、外からの進入に対するファイアウォールでは役に立たないので、内側から出て行こうとする通信を監視統制下に置くことが出来るファイアウォールである事が要求される。
    ZoneAlarmやWindowsファイアウォールなどのフリーで役に立つものも存在するので、入れていないのであればこれらの導入を勧める。
    全能ではないが、敵の初撃を防ぐには十分である。

  3. 最大桁数、全文字種使用のパスワードを設定し、定期的に変更する。
    パスワードの寿命は攻撃者の解析能力で決定する。
    敵のパスワード解析時間が次回のパスワード更新時期より遅ければ、事実上パスが抜かれることはないし、そういう管理をしていれば攻撃側は攻撃を諦めざるを得なくなる。
    つまり、最大強度のパスワードを1ヶ月毎に更新していれば、相手が国家機関級のメインフレームでも持ち出してこない限りはほぼ安全であると言える。

  4. 上記を全部同時に実施する。
    上記は全部同時に実施しないと意味を為さない。
    どれか一つでも漏れていればそれは危険である。

外部リンク

→桁数、文字種と総当たり攻撃によるパスクラックに要する時間の参考資料
数桁のパスワードは一瞬で突破される事が見て取れる。
*1
警戒するのはハードに直接触れる可能性のある人だけで良い。
本記事に対して情報がある方は下記コメント機能をご利用ください。