FAQ - EpisoPass

FAQ

https://upload.wikimedia.org/wikipedia/commons/thumb/f/f8/Trademark_License_FAQ.svg/1280px-Trademark_License_FAQ.svg.png

EpisoPassとは何ですか

パスワード管理の難しさを根本的に解決する画期的なシステムです

パスワードの何が問題なのですか?

パスワードの問題点は沢山ありますが、普通の人間は安全なパスワードをいくつも記憶できないということは大きな問題のひとつです

新しくパスワードを設定する場合、新しく作成した文字列を記憶する必要があるわけですが、人間は新しく記憶したものは常に忘れる可能性がありますから、忘れないパスワードを作成することはそもそも不可能です

EpisoPassを利用すると、脳の中の記憶からパスワードを生成することができるのでパスワードを忘れる心配がありません

パスワードというものは自分で考えるものではないのですか?

そう考えられていた時代もありますが、沢山のサービスを利用する現在、サービスごとに異なるパスワードを考えて記憶するのは不可能です

いろんなサービスで同じパスワードを使い回している人が多そうですが、増井俊之.icon はそれでひどい目にあったことがあります

なんらかのパスワード管理システムを利用してパスワードを管理するのが妥当だと考えられます

パスワード管理システムを購入して使えば良いのですか?

多くのパスワード管理システムは高価であり、安全性も十分ではありません。

無料のEpisoPassでパスワード管理するのが最善です。

一般的なパスワード管理システムとEpisoPassは何が違うのですか?

一般的なパスワード管理システムは、データベースに登録したパスワードを利用するようになっています。

クラウド上のデータベースを利用するものもありますし、ローカルマシンのデータベースを利用するものもあります。

いずれにしても、データベースの中にパスワードが格納されているわけですから、流出/漏洩の危険があります。

流出/漏洩を防ぐためにデータベースは暗号化されていますが、データベース暗号化のためにパスワードが利用されるのが普通です。

これはマスターパスワードと呼ばれますが、パスワードを管理するためにパスワードが必要だというのはおかしな話です。

EpisoPassはパスワードを格納するデータベースを利用せず、パスワードを生成するためのQ/Aデータだけを利用します。

Q/Aに答えられる人だけがパスワードを生成できます。

EpisoPass.comで生成されるパスワードは安全なのですか?

EpisoPass.comを使ってパスワードを生成していることを秘密にしておけば、ランダムパスワードを利用しているのと同じですから普通に安全です

EpisoPass.comのページを公開した場合でも、なぞなぞ問題の数や選択枝の数が多ければ安全です

たとえば30択の問題が10個あれば$ {30}^{10}種類のパスワードからひとつを選ぶことになるので破られる可能性は極めて低くなります。この場合のエントロピーは$ log_{2}{30^{10}} = 49ビットになります。

EpisoPass.comが生成可能なパスワードをすべて試すことは可能ですが、そういう処理はサービスに拒否されるはずです。

数回パスワード入力を間違えるとサービスにブロックされるのが普通です

パスワードがEpisoPass.comの運営者に漏れるのが心配なのですが...

EpisoPass.comはEpisoPass.htmlを提供するだけのサイトであり、編集情報がサーバに通知されたりデータがサーバに保存されたりすることはありません

2019までのEpisoPass.comでは問題データをサーバに保存していましたが、2020以降はこれを中止しました

問題の作成や編集はローカルのブラウザで動作し、通信もデータ保存も行なわれません

あらゆる操作はローカルのブラウザで実行されるので、どこかに漏れる心配はありません

なぞなぞ問題はEpisoPass.comに保存されるのでしょうか?

保存されません。上の質問をご覧下さい

EpisoPass.comに接続しないとパスワードを計算できないのですか?

EpisoPass.comはEpisoPass.htmlを提供しているだけなので、ネット接続が無くてもローカルのEpisoPass.htmlがあればEpisoPassの全機能を利用できます

どういうなぞなぞ問題を使えばいいんでしょうか?

古い確かな記憶でかつ他人に話す機会がないものは安全だと考えられます

たとえば「小学校のとき右足を怪我した場所は?」のような些細な記憶についてわざわざ他人に話すことは無いでしょうが、記憶が消えることも無いでしょう

問題を考えて正答と偽答のリストを作るのは大変ですが、地名や人名を並べておいてから質問を作ると楽です

逆に、どういうなぞなぞ問題は適切でないのでしょうか?

以下のような問題は避けた方が良いでしょう

他人と記憶を共有しているもの

e.g. 社員旅行で行った場所は?

他人が推測可能なもの

e.g. 好きな食べ物は?

答が変化する可能性があるもの

e.g. 好きなアーティストは?

最近の経験に関するもの

e.g. フラれたのは?

5年後も覚えているとは限らないからです

忘れてしまう可能性があるもの

e.g. 昔の電話番号は?

自慢につながるもの

e.g. 小学校のとき獲った賞の名前は?

こういう記憶は思い出話として他人に語ってしまう可能性が高いためです

嫌な記憶や黒歴史を思い出すもの

毀誉褒貶につながるもの

シード文字列とは何ですか

EpisoPassは、シード文字列を変換してパスワード文字列を生成します

生成したいパスワードと同じ長さや文字種のシード文字列を利用すると便利です

たとえば「8文字以上10文字以内の英数字」のパスワードを要求するシステムの場合、01234abCDEのようなシード文字列を利用します。

シード文字列はどういうのを使えばいいでしょうか?

システムが要求する文字種を含み、可能な限り長いものを使えば良いでしょう

サービス名と対応させておけば便利かもしれません

なぞなぞ問題やシード文字列は秘密にする必要があるのでしょうか?

なぞなぞ問題が充分難しい場合はシード文字列からパスワードを計算することができないので、なぞなぞ問題やシード文字列が他人に知られても問題ありませんが、より安全を期するのであればこれらを秘密にしておくとよいでしょう

増井俊之.icon はシード文字列もなぞなぞ問題も公開していますが、公開する必要があるわけではありません

他に危険はありますか?

シード文字列とパスワードを両方知っている人がいれば、選択枝をしらみつぶしに調べることにより正答を知ることができてしまいます

たとえばEpisoPassでクレジットカード番号を生成するような問題を設定すると、正当なクレジットカード番号を生成する答を調べることができてしまいます

計算されたパスワードが正しいかどうか判定できないものに対して利用して下さい

同じパスワードを生成する問題を複数利用すると、両方から生成可能なリストの共通演算することによりパスワードが判明する可能性があります

どこかのサービスでパスワード漏洩があるとどうなりますか?

なぞなぞ問題を公開しており、かつ登録したパスワードがサービス側から流出したとき、しらみつぶしに調べることによってEposoPass問題の正答を知ることができてしまいます

パスワードを利用するサービスは通常パスワードをそのまま利用することはなく、パスワードから計算される特殊な値(ハッシュ値)を利用するのが普通なので、登録したパスワード文字列そのものがサービス側が流出する可能性はかなり低いですが、不幸にしてこのような事故が起こった場合はすべての問題の答がわかってしまう可能性が高いので問題とパスワードはすべて廃棄するのが適当でしょう

問題を公開していない場合は問題を変える必要はありません。シードを変えることによりパスワードを変更すれば十分です。

他のパスワード管理システムを使うのとどう違うのでしょう?

EpisoPassはパスワード計算方法を提供するだけであり、パスワードそのものを記録するわけではありませんから、パスワードを暗号化して保存するシステムとは根本的に原理が異なっています

ほとんどのパスワード管理ソフトは「マスターパスワード」を使って様々なシステムのパスワードを記憶/管理するようになっています

マスターパスワードもパスワードの一種ですから忘れてしまう危険や他人に知られてしまう危険がありますが、 EpisoPassではパスワードを全く記憶する必要がありません

また、複数のコンピュータを利用する場合は複数のマシンにパスワード管理システムをインストールしなければならないかもしれません。EpisoPassはブラウザから利用できるのでソフトをインストールする必要がありません

多くのパスワード管理システムには漏洩リスクがあるようです

リスク

「1Password」や「LastPass」など9つの人気パスワードマネージャーに情報漏えいのリスクがあると報じられる

漏洩事件

1Password、個人情報のリーク報道について公式コメントを発表

パスワード管理サービスのLastPassでデータ漏えい

なんらかの形でパスワードそのものをサーバに保存しているわけですから漏洩リスクは避けにくいでしょう

既存システムについては関連システムのページを参照ください

パスワードはどのように生成しているのでしょう?

なぞなぞ問題とユーザが選択した答を並べた文字列からハッシュを計算し、その値にもとづいてシード文字列の各文字を置換しています

パスワード文字列は問題文字列/選択文字列/シード文字列から一意に計算されます

アルゴリズムの詳細はソースを参照してください

正答の情報がサーバに送られることはないのですか?

EpisoPassはネット通信を行ないませんから、データがサーバその他に送られることはありません。

また、作成した問題はサーバに保存されません (自分でダウンロードして保存する必要があります)

なぞなぞ問題をバックアップできますか?

ダウンロードした利用画面のHTMLを適切に管理してください

問題を解くのが十分難しい場合は特にセキュリティに配慮する必要はありません。普通のファイルバックアップ手法で十分です。

現在使ってるパスワードを利用できますか?

はい。現在のパスワードを生成するシードを利用すれば、現在のパスワードを生成することができます

正答を選択した後でパスワード枠に現在のパスワードを入力すると、それを生成するシード文字列がSeed枠に表示されます

その時点で利用ページ作成ボタン.icon ボタンでを利用ページを生成すると、現在のパスワードを生成する利用ページができます

実際使い物になるのですか?

増井俊之.icon は2013年からずっとEpisoPassを利用しています

その間、パスワードを破られたことはありません

懸賞金を出したこともありますが、破ったという報告はありませんでした

論文はありますか?

論文ページにあります

EpisoPassの利用にお金はかかりますか?

いいえ

EpisoPassに特許はありますか?

いいえ

EpisoPassはどういうビジネスモデルなのでしょうか?

ビジネスにする方法があれば教えて下さい

なぞなぞ問題データを取得することはできますか?

利用ページのHTMLの中の、const dataという文字列を含む行にJSONデータがあります

% grep 'const data' (利用ページHTMLファイル) で取得できます

自動生成したなぞなぞ問題を使いたいときはどうすればいいでしょう?

以下のような形式のJSONデータを生成して編集ページにDrag&Dropしてください

code:sample.json

{

"name": "EpisoPass_masui@pitecan.com",

"seed": "EpisoPass_123456",

"qas": [

{

"question": "コケて小指をケガしたのは?",

"answers": "北海道", "東京", "神奈川", "長野", "奈良"

{

"question": "財布を拾ったのは?",

"answers": "大船", "湘南台", "鎌倉", "藤沢", "逗子"

}

]

}

バグ報告や文句、要望などは誰に言えばいいですか

連絡先にお願いします