パスワード変更は計画的に

やっちゃいましたねぇ。 大惨事ですよ。

• Heartbleed Bug
• OpenSSL Security Advisory [07 Apr 2014] TLS heartbeat read overrun (CVE-2014-0160)
• OpenSSL の脆弱性対策について(CVE-2014-0160) ：IPA 独立行政法人 情報処理推進機構
• OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 | TechCrunch Japan

この脆弱性が問題なのは悪用されても痕跡が残らないことだ。 だからはっきり言って被害がどのくらいの規模になるのかは分からない。 分からないので最悪を想定して動くしかない。

海外では既に被害状況をまとめた記事が登場している。

• The Heartbleed Hit List: The Passwords You Need to Change Right Now

Heartbleed がどんな問題か理解できなくてもいいので，少なくともこの記事は目を通しておくこと。 そして自身が参加しているサービスでパスワード変更が必要と判断されているものについては必ずパスワードを変更すること。

気になるのは，現時点で Twitter や Apple などが Unclear な状態であること。 そして日本のサービスの状況が全くわからないこと。 どーなってんの？ IPA でも JVN でも JPCERT でも NICT でもいいから，ちゃんと旗振りして事態の把握と収拾に努めろよ。 くだらない論文のバッシングで遊んでる暇はねーんだよ！

幸いなことに今回のこれは，それほど緊急というわけではなさそうだ。 今のところアカウントを乗っ取られて云々という記事は見当たらない。 そこで，この週末は半日くらい当ててパスワード変更作業を一気に進めてしまうことをお薦めする。

（携帯端末のセキュリティ設定やパスワードに関する話は IPA の以下のドキュメントが役に立つ。

• IPA 独立行政法人 情報処理推進機構：情報漏えいを防ぐためのモバイルデバイス等設定マニュアル

解説編にはパスワード解読にかかるコストなどが紹介されている。 これによると数字だけの8文字以下のパスワードの解読にかかるコストは1円未満だそうだ。 英字小文字を含めても100円以下。 恐ろしいだろう？）

ところで，いまだにパスワードを頭の中で管理している人はいませんか？ セキュリティ上有効と思えるパスワードを頭の中で憶えておくなんてのは，はっきり言って脳味噌の無駄遣いです。 今すぐ止めましょう。

最近はパスワード管理ツールという便利なものがあります。 是非この手のツールを使って効率的にパスワードを管理することをお薦めします。 個人的には KeePass がお勧めです。

• KeePass Password Safe
• KeePassDroid - Google Play
• Keepass2Android Password Safe - Google Play

“Yes, KeePass is really free, and more than that: it is open source (OSI certified). You can have a look at its full source and check whether the encryption algorithms are implemented correctly.”
（via “KeePass Password Safe”）

そして Flattr のアカウントを持っている貴方は是非 KeePass に micro-donation を！

KeePass と KeePassDroid/Keepass2Android は Dropbox 等のクラウドストレージを使うことでデータベースファイルの同期をとることができます。 データベースファイルは暗号化すること（クラウドストレージにプライバシーはないと思った方がいい）。 もちろん鍵ファイルをクラウドに上げてはいけません。

パスワード変更は計画的に。 良い週末を。

しかし，今回の問題で OpenSSL に全く関係ない Microsoft が被害なしってのが皮肉というか何というか...