FAQ
https://upload.wikimedia.org/wikipedia/commons/thumb/f/f8/Trademark_License_FAQ.svg/1280px-Trademark_License_FAQ.svg.png
パスワードの何が問題なのですか?
パスワードの問題点は沢山ありますが、普通の人間は安全なパスワードを記憶できないということは大きな問題のひとつです 新しくパスワードを設定する場合、新しく作成した文字列を記憶する必要があるわけですが、人間は新しく記憶したものは常に忘れる可能性がありますから、忘れないパスワードを作成することはそもそも不可能です
EpisoPassを利用すると、既に記憶しているものからパスワードを生成することができるのでパスワードを忘れる心配がありません
パスワードというものは自分で考えるものではないのですか?
昔はそう考えられていましたが、サービスごとに異なるパスワードを考えて記憶するのは不可能です
いろんなサービスで同じパスワードを使い回している人が多そうですが、増井俊之.icon はそれでひどい目にあったことがあります なんらかの方法で機械的に生成したパスワードを利用するのが妥当だと考えられます
EpisoPass.comで生成されるパスワードは安全なのですか?
EpisoPass.comを使ってパスワードを生成していることを秘密にしておけば、ランダムパスワードを利用しているのと同じですから普通に安全です
EpisoPass.comのページを公開した場合でも、なぞなぞ問題の数や選択枝の数が多ければ安全です
たとえば30択の問題が10個あれば$ {30}^{10}種類のパスワードからひとつを選ぶことになるので破られる可能性は極めて低くなります。この場合のエントロピーは$ log_{2}{30^{10}} = 49ビットになります。 EpisoPass.comが生成可能なパスワードをすべて試すことは可能ですが、そういう処理はサービスに拒否されるはずです。
数回パスワード入力を間違えるとサービスにブロックされるのが普通です
パスワードがEpisoPass.comの運営者に漏れるのが心配なのですが...
EpisoPass.comにはなぞなぞ問題と選択枝とシード文字列だけが保存されます
ユーザがいろんな答を選択したときにいろんな文字列が計算されますが、システムはどれが正答か判断できませんからパスワードがEpisoPass.com運営者に漏れることはありません
パスワードの計算操作を行なっているとき、正解に関する何らかの情報がネット経由でどこかに伝わることが心配であれば、ブラウザの「別名でページを保存」メニューを使ってHTMLファイルを保存してローカルマシン内で計算したり、ローカルにパスワード計算を行なうと安心でしょう
EpisoPass.comに接続しないとパスワードを計算できないの?
EpisoPass.comが停止しても困ることはありません
どういうなぞなぞ問題を使えばいいんでしょうか?
古い確かな記憶でかつ他人に話す機会がないものは安全だと考えられます
たとえば「小学校のとき足に怪我した場所はどこ?」のような記憶についてわざわざ他人に話すことは無いでしょうが、記憶が消えることも無いでしょう
問題を考えて正答と偽答のリストを作るのは大変ですが、人名や地名を並べておいてから質問を作ると楽です
嫌な記憶や黒歴史は使わない方が良いでしょう
逆に、どういうなぞなぞ問題は駄目なのでしょうか?
以下のような問題は避けた方が良いでしょう
他人と記憶を共有しているもの
e.g. 社員旅行で行った場所は?
他人が推測可能なもの
e.g. 好きな食べ物は?
答が変化する可能性があるもの
e.g. 好きなアーティストは?
最近の経験に関するもの
e.g. フラれたのは?
5年後も覚えているとは限らないからです
忘れてしまう可能性があるもの
e.g. 昔の電話番号は?
自慢につながるもの
e.g. 小学校のとき獲った賞の名前は?
こういう記憶は思い出話として他人に語ってしまう可能性が高いためです
答の選択に時間がかかるのですが?
EpisoPassは、シード文字列をもとにして文字列を生成します
生成したいパスワードと同じ長さや文字種のシード文字列を利用すると便利です
シード文字列はどういうのを使えばいいでしょうか?
システムが要求する文字種を含み、可能な限り長いものを使えば良いでしょう
サービス名と対応させておけば便利かもしれません
シード文字列は秘密にする必要があるのでしょうか?
なぞなぞ問題が充分難しい場合はシード文字列からパスワードを計算することができないのでシード文字列が他人に知られても問題ありませんが、より安全を期するのであればシード文字列を秘密にしておくとよいでしょう
増井俊之.icon はシード文字列も公開していますが、公開する必要はありません
他に危険はありますか?
シード文字列とパスワードを両方知っている人がいれば、選択枝をしらみつぶしに調べることにより正答を知ることができてしまいます
たとえばEpisoPassでクレジットカード番号を生成するような問題を設定すると、正当なクレジットカード番号を生成する答を調べることができてしまいます
計算されたパスワードが正しいかどうか判定できないものに対して利用して下さい
同じパスワードを生成する問題を複数利用すると、両方から生成可能なリストの共通演算することによりパスワードが判明する可能性があります
パスワードを利用しているサービスでパスワード漏洩があるとどうなりますか?
登録したパスワードがサービス側から流出した場合も、しらみつぶしに調べることによって正答を知ることができてしまいます
パスワードを利用するサービスは通常パスワードをそのまま利用することはなく、パスワードから計算される特殊な値(ハッシュ値)を利用するのが普通なので、登録したパスワード文字列そのものがサービス側が流出する可能性はかなり低いですが、不幸にしてこのような事故が起こった場合はすべての問題の答がわかってしまう可能性が高いので問題とパスワードはすべて廃棄するのが適当でしょう
EpisoPassはパスワード計算方法を提供するだけであり、パスワードそのものを記録するわけではありませんから、パスワードを暗号化して保存するシステムとは根本的に原理が異なっています
ほとんどのパスワード管理ソフトは「マスターパスワード」を使って様々なシステムのパスワードを記憶/管理するようになっています マスターパスワードもパスワードの一種ですから忘れてしまう危険や他人に知られてしまう危険がありますが、 EpisoPassではパスワードを全く記憶する必要がありません
また、複数のコンピュータを利用する場合は複数のマシンにパスワード管理システムをインストールしなければならないかもしれません。EpisoPassはブラウザから利用できるのでソフトをインストールする必要がありません
多くのパスワード管理システムには漏洩リスクがあるようです
リスク
漏洩事件
なんらかの形でパスワードそのものをサーバに保存しているわけですから漏洩リスクは避けにくいでしょう
パスワードはどのように生成しているのでしょう?
なぞなぞ問題とユーザが選択した答を並べた文字列からハッシュを計算し、その値にもとづいてシード文字列の各文字を置換しています
パスワード文字列は問題文字列/選択文字列/シード文字列から一意に計算されます
正答の情報がサーバに送られることはないのですか?
ユーザが選択した正答の情報がサーバに送られることはありません
サーバに送られるのは問題と答のリストだけです
なぞなぞ問題をバックアップできますか?
https://EpisoPass.com/(ID).json にアクセスするとJSONデータを取得できます 問題データを間違って編集してしまった場合など、パソコンに保存しておいたJSONファイルを問題ページにDrag&Dropするとデータを復元することができます
現在使ってるパスワードを利用できますか?
現在のパスワードを生成するシードを利用すれば、問題を解くことによって現在のパスワードを生成することができます
正解を選択した後でパスワード枠に現在のパスワードを入力するとそれを生成するシード文字列がSeed枠に表示されます
現在のパスワードをメモするかわりにこのシード文字列をメモしておけばいいでしょう
実際使い物になるのですか?
増井俊之.icon は2013年からずっとEpisoPassを利用しています
DASや拡張機能が使えるので最近は全く不満を感じていません 2018/2/26 23:15 論文はありますか?
EpisoPassの利用にお金はかかりますか?
いいえ
EpisoPassに特許はありますか?
いいえ
なぞなぞ問題はEpisoPass.comに保存されるのでしょうか?
「save to server」ボタンを押すとなぞなぞ問題がサーバに保存されます。