パスワード
FFXIに関わるものとしては、ゲーム外では
またゲーム内では、画面に「
パスワード?:」と表示されて文字列の入力を求められることがある。本来の意味での
パスワード(
船宿や
謎の装置など)入力に用いられることもあるが、相性を占いたい相手の名前を入力する場合にも使われるなど、
プレイヤーから選択式ではない回答を得る場合に使用される共通のフォーマットである模様。
対となる
プレイオンラインIDと組み合わせることで、利用者の本人であることを確認する現時点で唯一の手段である。
これを失うと
POLのすべてのサービスが事実上使用不能となる。
再度
復帰させるためには
POLの
サポートデスクに電話か
チャットで連絡が必要となる。
オペレーターの指示に従って処理を進める形になるので、詳細は書かない。
オペレーターの指示に従うこと。
一事案につき、10~30分程度の質疑に答えることになるため、時間にはゆとりを持って連絡したいところである。
しょっちゅう立て込んでいる
サポートデスクであるが、どうにもこれが原因のようだ。
初回は
プレイオンライン利用登録時に発行され、後日正式に郵送で再確認することになる。
通常は英数混在の8桁の
パスワードが発行され、後日綴じ込みのり付けの登録完了通知はがきで平文のまま登録者に通達される。
下記の理由より、通知を受け取ったならば速攻で書き換えることを勧める。
プレイオンラインパスワード自体は最低8桁、最大15桁までが設定可能。
使用可能文字種は、
のみである。
ちなみにこの程度の桁数と文字種では、攻撃対象者が本気で攻撃を仕掛けたものとして、保っても1~2ヶ月程度の命である。
ランダム小文字+数字の8桁以上なら事実上突破不可能である。
(
オンライン認証はローカルの総当りとは違う)
しかし数字8桁はおすすめできない。
無制限の試行は許可されておらず、3回誤った
パスワードを入力することで数分間の認証禁止
ペナルティが発生する。
総当たり
攻撃に対する最低限の保証はされている。
プレイオンラインの
パスワード運用プロセスには、下記の大きな問題が存在する。
- 上記のパスワード使用可能文字種がわかりやすいところに明示されていない。
- 登録パスワードに指定外の記号が入力でき、受付時に無視される。
- 設定文字列に制限があるのに入力文字列は無制限である。
上記で何が起こるかというと、登録時に文字列内に誤って指定できない文字を打ち込んでしまうと、その文字は入力されていないことにされて登録が完了してしまう点である。
利用者は次に同じ
パスワードを
キーボード入力しても、今度は無効だったはずの文字が有効とされてしまうため、登録時と入力時の
パスワードが一致しないという事態に陥るのである。
そして極め付けは、間違えた
パスワードを
復帰するためには平日の
AM11:00~
PM19:00の間に電話か
POLチャットで連絡をしなければならない点である。
つまり、金曜の夜に何らかの事情で
パスワードを変更してトラブルがあった場合、月曜まで
ログオン不能になるという事を意味する。
運営のサポートが甘い、不十分とこき下ろされる原因の一つである。
ユーザーの側でも、週末に
パスワードを変えない様、または変える必要が発生しないように自衛する必要がある。
キーボードより、
3o!0qhd<2@ag;jr09
という
パスワードを設定したとする。
POLでこの
パスワードは15文字・記号抜きと勝手に解釈されるため、
3o0qhd2agjr09
に断りもなく自動で
変換される。
そして
ユーザーには
微塵もその事実が通知されないので、
3o!0qhd<2@ag;jr09 ≠ 3o0qhd2agjr09
(キーボードから入力したパスワード ≠ POLが受理したパスワード)
で不整合が生じ問題が発生することになる。
逆にこの原理が判っているのであれば、元のキー入力から記号を抜いて打ち込めば良いので、
サポートデスクに電話する前に試してみるのがよい。
POLでメンバー登録した際に設定できる
パスワード。これを登録すると、メンバーリストから
パスワードを登録したメンバーを選択する際に
パスワードを打ち込む必要がある。
複数の人でプラットフォームを共有している場合などで、自分の登録した情報を他人に見られたくない、もしくは勝手に登録情報を使われたくない場合に有効。
単に自分の
アカウントで
ログインされたくないだけなら
POLの
パスワードを毎回手打ちするという方法でも良いのだが、セキュリティの要求レベルは
POLの
パスワードよりも低い
警戒するのはハードに直接触れる可能性のある人だけで良い。
ので、
POLの
パスワードは複雑にしてハードに記憶させ、ユーザ
パスワードは覚えやすい簡易なものにするという使い方をしても良いだろう。
この
パスワード、及びワンタイム
パスワードは、何回か間違えて入力するとロックがかかり、しばらく
ログインできなくなってしまう。ただし、この時
POLで表示されるメッセージは「
パスワードが間違っている」という事実と異なる内容であり、「
パスワードは合っているはずなのに間違っていると言われる」状況に陥る。
Web上で
スクエニアカウントに
ログインするときには「
パスワードを何度か間違えたので数分間
ログインできない」という正しいメッセージが表示されるので、本当に
パスワードが間違っているかどうかはこちらで確認すると良いだろう。もっとも、実際には
ログインできるようになるのに10分ほどかかるので、微妙に正しいとは言いがたいが…。
半角8文字以上32文字以内である必要があり、大文字/小文字は区別される。また、以下の条件に該当する
パスワードは登録できない。
- 英字のみ、数字のみ、記号のみの組み合わせ
- スクウェア・エニックスIDと同じ文字列
- メールアドレスの@前と同一の文字列
- 同一の文字を3文字連続で指定したもの
- 簡単すぎるため類推される。
- キーロガーから入力を抜かれる。
- 暗号化した通信を傍受され、復号される。
大抵は上記の3つから
パスワードを抜かれることになる。
昨今の不正アクセス被害は、主にネットから拾ってきた出所不明の
プログラムに仕込まれたキーロガーによって、正規の
パスワードを抜かれることによって起こる。
また、平易な無線などで
POLへ飛ばしたパケットから
パスワードの暗号文を傍受され、復号
解析用のコンピュータで
解析される、という事も昨今の技術普及度では容易になっているので、相応に
警戒すべきである。
また、ネットカフェなどから使った指紋などで類推されるなどと言う都市伝説もあるが、
物理的に不可能ではない点で、
警戒を要するだろう。
最近ではさらに、自らに身に覚えがない場合でも、他所で設定したID、メールアドレス、
パスワードと同一の組み合わせものを使用している場合に他所から流出されることで、
アカウントに侵入されるという事例が目立っている。
プレイオンラインIDは任意に選択できないが、
スクウェア・エニックス アカウントの場合、好きな
ワードを使用したIDの他に、登録したメールアドレスによる
ログインも可能であるため、注意したほうが良いだろう。
- 英語ベースのパスワードを設定しない。
英語ベースのパスワードは辞書攻撃などで簡単に抜かれてしまう。
パスワードを日本語ローマ字ベースにしたり、キートップのかなを使ってアナグラム化するなどで、海外からの脅威をほぼ潰すことは出来るようになる。
- 拾ってきたものは使わず、プログラムの通信を監視遮断できるファイアウォールを導入する。
端的には通信するから不正にパスワードを抜かれるわけで、通信させなければそういった感染をしていても安全であると言える。
この対策のためにファイアウォールを活用するわけであるが、外からの進入に対するファイアウォールでは役に立たないので、内側から出て行こうとする通信を監視統制下に置くことが出来るファイアウォールである事が要求される。
ZoneAlarmやWindowsファイアウォールなどのフリーで役に立つものも存在するので、入れていないのであればこれらの導入を勧める。
全能ではないが、敵の初撃を防ぐには十分である。
- 最大桁数、全文字種使用のパスワードを設定し、定期的に変更する。
パスワードの寿命は攻撃者の解析能力で決定する。
敵のパスワードの解析時間が次回のパスワード更新時期より遅ければ、事実上パスが抜かれることはないし、そういう管理をしていれば攻撃側は攻撃を諦めざるを得なくなる。
つまり、最大強度のパスワードを1ヶ月毎に更新していれば、相手が国家機関級のメインフレームでも持ち出してこない限りはほぼ安全であると言える。
- 上記を全部同時に実施する。
上記は全部同時に実施しないと意味を為さない。
どれか一つでも漏れていればそれは危険である。
コメント表示/書き込み
