スモールビジネスのIT日誌

• (2020-10-09 06:11:55)

先日、MiniTool Power Data Recoveryを購入した。

感謝、MiniTool Power Data Recovery

間違って消去したデータの復元が目的だった。運よくその目的は達成された。

MiniTool Power Data Recoveryには感謝している。

ところで、このソフトはマンスリーサブスクリプションになっていた。

しかし、この種のソフトは平均的な人間には通常、一回使ったらあとは不要。

「今月分のお支払い完了」メール

当然、一ヶ月限りの使用ライセンスでOK、更新しないつもりだったが、メールが来た。

なんと「今月分のお支払い完了」と書かれていた。

やられた。64ドル、7,000円の支払が完了していた。

確信犯的な契約と思う

マンスリーサブスクリプションであることは認識していたが、明示的に解約しないと、自動的に引き落とされるとは油断していた。

デフォルトで、サブスクリプションになっていることはおそらく、意図的にわかりにくく書かれていたに違いない。

やられる人間は多いだろう

空想だが、こうやって半数以上の人間が、再度支払い、さらにその数割の人が課金され続けることに気づかず、何ヶ月も払い続け、さらにごくわずかな人は何年も払い続けるのだろう。

「今月分のお支払い完了」メールが来て、これはかなわんわ、とさっそく契約解除のページに行くと、こんどはユーザーIDとパスワードがわからない。

購入時にそういう設定はしていないと思うが、したのだろう。

そういう点も意図的な誘導だたっと思われる。

リセットできるので、新規にパスをセットして、翌月の引き落としは回避できた。

EaseUS Data Recoveryの場合

同時期に購入したEaseUS Data Recoveryもサブスクだが、こちらは一年単位だし、さらに解除も簡単。

ユーザーIDとパスワードでなく、メール内のリンクから簡単にできたので、ビジネスの姿勢としてはこちらの方が良心的。

サブスクは危険

いずれにしても、サブスクはこれだから危険だと思う。

今回は課金されていることに気づいたから、解約できたが、気づかないことも多いと思う。

定型の英文メールなど、普通スパムとしか思わない、見落とすことは多い。

一般に、使用していないサブスクで、課金が延々と続いている人は多いことだろう。

クレジット決済の明細など見ない人は多いから。

• (2020-10-08 17:39:27)

networksolutionsでデッドロック

久しぶりにnetworksolutionsにログインしたら、強制的にパスワード変更を求められたが、その方法が、「パスワードのリセット方法を記載したメールを送った」と書かれていた。

しかし、どのメアドを使っていたか記憶がなく、記録もなく、20年前の昔に使っていたメアドかな、と思うも、とっくにない。

今までこういうことはなく、普通にログインできたので、逆に管理がおろそかになり、昔の記録も消失したのだろう。

最初の登録メアドを廃棄する際、別のメアドをnetworksolutionsには登録し直したはずだが、その記録も記憶もない。

このパスワード・リセットをクリアしないと、管理画面に行けない！

このままでは自分のドメイン名に対するコントロールを失うことになる。

そして、ドメインを失うことはビジネスを失うことになる。

恐ろしい。

networksolutionsの案内にははまったらコールセンターに電話せよとある。

電話番号も目立つように記載されている。

しかし、米国の番号に英語でかけるのも気が引けるし、何よりも、かけたとしても、そのドメインの所有者であることの証明が求められるだろう。

本人証明の書類とか。

私は実名を取られることがうっとうしく、よく偽名で様々なサービスに登録する。

networksolutionsはさすがに重要なドメインの登録なので、実名だったと思うが・・
偽名で、かつ、本人証明を求まられるとしたら、アウトである・・

ビジネスを失うリスク

複数のレジストラを利用している。

はじめてドメイン名を申請したのは20年くらい前、いきなり海外のレジストラnetworksolutionsでやってみた。

どんなもんか、という気持ちがあったのか、それとも国内よりよほど安かったのか、なぜ海外のレジストラを選んだのか、理由は覚えていない。

その後、国内のレジストラで登録するようにもなった。

どんなレジストラでも、コンタクトは基本メールである。

それでそのとき登録したメールアドレスは非常に重要。

オンラインではそれがほぼ唯一のコンタクトの方法だから。

ネットで何かサービスを登録した場合は必ず登録したメアドとセットで記録しておくべきだ。

そして、メアドを変更した場合も必ず変更手続きをすべき。

だから、様々なサービスにサインインするような人間なら、2種類のリストを用意していた方が良い：

(1) 登録したサービス名のリスト
　　各サービス名にメアドを記録し、メアド変更の場合はそれを訂正

(2) サービス登録に使用したメアドによるリスト
　　各メアドごとに何のサービスに使用しているか記録


※(続く・・・) networksolutions パスワードではまる

• (2020-09-29 05:59:34)

社内にはまだwin7が数台残っている。

私自身は自宅でwin7を使っている。このままwin7を使い続けたい感じ。

ただ、社内の1台のwin7は何かあれば影響も大きいので、そのうちwin10にする予定。

実は今年の1月に変更予定だったが、入れている一つの金融系のサービスが大きな問題だった。

そのサービスではPCを変更すると日本郵便の審査を受ける必要があった。

その審査が信じがたいほどお役所風の手続きで、ついに頓挫した。

お役所風というのは「印字テスト1,500枚の提出」。

なんで1,500枚も？と呆れた。数枚でよさそうだが。

で一部に印字ズレありと連絡を受け、再提出となった。

しかし、再提出命令を受けたとき、何かが心の中でふっきれた。

岩石のように固まっている日本郵便にもふっきれたし、「win7のままでいいいか」、とふっきれた。そして、win7のサポート終了済みの現在でも、同じwin7を使用しつづけている。

日本郵便さんの金融系サービスは解約することにした、これで岩ともおさらばである。

他のアプリやプログラムはおおむね、win10で動作することは確認しているが、一部のプログラムや周辺装置で動作しないものがある。

win10への変更が大変、というより、実情はOSの「32bitから64bitへの移行」がハードルとなっている。

古い周辺装置のドライバーはだいたい64bitをサポートしていない。どうにもならない。

また、自分で開発したVBAなどのコードも64bitで変な動作をするものがあり、枝葉末節なところで、win10に移行できない感じである。

まあ、しかし、来年中には移行しようかと思う。

• (2020-09-17 10:57:01)

社会人になったて会社ではじめてPCを与えられたとき、パスワードは「welcome」や「password」や「1234」にした。

世界的に有名な、最も推測しやすいパスワードのトップ10を飾るものを、偶然チョイスした点で、私の感覚は平均的な人の典型である。

愚かなパスワードの次は好きな芸能人の名前をパスワードにした。

ある日、他人に開示する事情があり、非常に恥ずかしかった。その後、人の名前は入れなくなった。

その後、いろいろポリシーを作ってみるものの、なかなかこれといったポリシーに至っていない。

なぜ、パスワード制作ポリシーは難しい？

(1) パスワード制作：覚えやすく忘れにくいパスワードは必ずクラッカーにとっても類推しやすい

(2) パスワード変更：ある規則制をもって変更したいが、パスワードが数個盗まれると、規則性が類推される

絶対に外したいパスワード

世界中の人々が選択するパスワードの統計学的な研究が進んでいる。

驚くことに、多くの人が同じようなパターンで、同じようなパスワードを選択することがわかっている。

実におもしろい現象である。

つまり、自分で思いつく程度のパスワードはクラッキングのプロたちからはお見通しということだ。

空き巣犯罪のプロは人の家に押し入ると、あっという間に財産の隠し場所を当てる人が多いが、パスワードもプロが相手だと一本とられる可能性が高い。

だから、

(1) 最低でも辞書に掲載されているワードは使わない

(2) 機械的に生成したパスワードが理想だが、覚えられない

(3) よって、自分が知っているワードをあえて変形させたワードが今は気に入っている。

現状

(1) 12-32文字

(2) 日本語ワードの英字表記の変形(辞書に掲載されないコトバ)

(3) 記号 + コアワード ＋ サービス名 ＋ 番号

こういうポリシーでパスワードを選択している。

問題はサービス側が対追いしていないところも多いこと。たとえば、字数制限が最大12文字とか未だにある、少なすぎだろう。

また記号(! # $ % & =_ - など)を認めないところも多い。記号を含めることで強度は格段に上がるのに。

自分がこういうポリシーでもサービス側が、それを認めないと変形ポリシーとなり、状況は複雑化する。

「必ず破られる」という覚悟と準備

どんなに頑張っても、パスワードは破られる。

パスワードを数回間違えるとロックされようなシステムならまだ安全だが、何度でもやり直せるシステム、たとえば、受信メールを読むためのメールサーバへのログインなどは時間をかければ必ず突破される。

人がやるわけではない、複数のコンピューターで同時に、24時間・365日トライアルさせれば、20桁だろうと、32桁だろうと、必ずやられる。

(1) リトライでシステムロックはあるか？

(2) 突破された場合の最悪の事態は？

(3) リスクが高いアカウントはそもそもなるべく作らない、不要になったらすぐに閉鎖しネットでの露出をなくす

必ず破られるので、破られたとき致命傷にならない対策は事前にしておく。

• (2020-09-15 14:58:39)

新しいメールアドレスを作成した。
なかなか動かずに1時間ほど時間を無駄にしたので、記録。

パスワードの文字列制限

最近のロリポップはメールのパスワードを難しいものに制限している。まず、文字数が長くなった。32字入れられるようになったことはよい。

32字といわず、64字くらい入れられるとありがたい。

他社サービスによっては10字以下とか制約があっるところも未だたまにある、かなり不便。今時、やはり64字入力できるようにしてほしい。

文字の種類は「英大文字＋英小文字＋数字＋(ハイフン or アンダースコア)」となっている。

こんな厳しい規則があるのに「#」や「?」「@」「！」などが入れられない。

なんで？と残念。

550 relaying denied by check_relay_rcpt plugin

こんなわけで、パスワードで30分ほどはまって、今度は下記のエラーが発生した。

550 relaying denied by check_relay_rcpt plugin

すべての送信メールでエラーというわけでない。あるドメインに送信すると、このエラーだった。事情を調べたい気がするが、時間がない。誰か同じトラブルの人の記事を読むと、

「ESMTP」にチェックを入れよ

という教えがあったので、意味もわからずチェックしてみらた動いた！このまま運用開始。