「パスワードの定期的変更」は基本的には無意味 87
ストーリー by hylom
近年では管理するパスワードの数も増えるいっぽう 部門より
近年では管理するパスワードの数も増えるいっぽう 部門より
あるAnonymous Cowardのタレコミより。セキュリティ研究家の徳丸浩氏が、「パスワードの定期的変更は無意味である」という理由について語っている(パスワードの定期的変更について徳丸さんに聞いてみた(1)、パスワードの定期的変更について徳丸さんに聞いてみた(2))。
アカウントのセキュリティ対策の1つとして、パスワードを定期的に変更するというのは昔から提唱されている。OSによっては、パスワードの変更後一定期間経つと強制的にパスワードの変更を求めるものもある。しかし、徳丸氏によると、このような一定期間でのパスワードの変更はあまり意味が無いという。
パスワードの変更に意味があるのは、攻撃者にパスワードが漏洩した後、その攻撃者が長期にわたってそのパスワードを使ってアカウントを監視し情報を盗み取るようなケースのみだという。それよりも、12文字以上の長いパスワードを使うことや、パスワードの使い回しをしない、二段階認証などセキュリティ的に強固な認証機構を利用する、といったことのほうが重要であると述べられている。
パスワードはメモしてディスプレイに貼っとけ! (スコア:5, おもしろおかしい)
良くしたもので、システム自体、パスワードの変更でよくトラブる。怒りを覚えて電話をすると「入力を間違えたんじゃないですか」と平気で言ってくる。
マイクロソフトのある研究 [microsoft.com]によれば、
とある。確かに、定期的に変更しなけりゃいけないほどやたすくクラックされるほどセキュリティーに信用のおけない(パスワードの複雑さを含む)システムなんか最初から使うなと言いたくなりますね。「パスワードをクラックされても変えればOK」って、根性が腐ってる。そもそも、共有パスワードなんて最初からセキュリティー的に低いのでアウトだし、「異動・退職した人間がアクセスできないように定期的に変える」とか言ってるようじゃ、沈没状態。
自社の基準 (スコア:2, 興味深い)
以前から「意味が無い」と言って来ているが、「それを入れないとISMS継続できない」んだそうだ。
Re:自社の基準 (スコア:2)
定期的に変更しなくても、パスワードの複雑性で担保しています、と言って OK だった。ただ、そのパスワードを複数の人で共有しているなら、定期的に変更するか、メンバーの出入りがあったときに変更しないと、とコメントはされたけど。
どっちかというと、「ルールをどういう理由で決めたのか」、ということと、「そのルールがきちんと運用されているか」、が ISMS のポイントで、具体的に「こうしてないとダメ」という事は、あんまり無いと思うなぁ。
Re:自社の基準 (スコア:1)
ISMSの審査は乱暴に言うと、決めたルールが守られているかの審査と聞きます。
そーゆールールを定めたのがいけませんな。まさに「自社の基準」に問題あり。
Re:自社の基準 (スコア:1)
本筋からそれるけどISMS対策はものすごい事前準備がかかって生産性落ちまくる。
自分たちの決めたルール以外にもどうでもいいようなことを指摘して即答できないとセキュリティに難あり!って決めつけて
その対策をすぐに出せなんて言ってくる。
企業の規模が大きくなればなるほど割かれる人員も増えるし、ISMS監査が仕事をするために仕事を作ってるようなもんだよ。
Re:自社の基準 (スコア:1)
凄いよね、あれ。
監査を受ける側にしても、監査対応って仕事を作るためじゃねーの? って感じるほど。
ISMSに限った話じゃないんだけど。ISOなんちゃら全般に...
Re: (スコア:0)
無意味なルールを押し付ける理由に使ってるだけでしょ。
Re: (スコア:0)
論理的でしかない主張ってのは、常識や多数派の前には無力なんですよね。
今回の件にしても時勢の論調が変化してこそある程度の支持を得られるのであって、
10年前ぐらいに技術者相手に同様の議論を吹っかけても袋叩きに遭うのがオチだったと思います。
プライバシーマーク認定団体が諸悪の根源 (スコア:2, 参考になる)
定期的変更、無意味だと思うんだけど、会社の情報管理部門に聞くと、
これを規則に入れないと、プライバシーマーク認定してくれないんだそうな。(´・ω・`)
そのくせ、社内ネットワークに平文でパスワード垂れ流すプロトコル使うほうはお咎めなしとか。
わけがわからないよ!
Re: (スコア:0)
プライバシーマークは完璧なセキュリティを求めているわけではないからね。
どこまで管理してどこまで妥協(リスクを受容)するかをちゃんと決めて運用すれば認定もらえる。
まあユーザはどんな認定証であろうがなんとかセレクションと同レベルと考えて自己防衛するしかない。
数字4桁 (スコア:2)
パスワードに誕生日を設定した上で、数字4桁で銀行と同じだから大丈夫って態度とられたことが。
そのパスワード10000通りじゃなくて、366通りしかないですから。
しかもそのうち1つは1/4の確率しかないですなら。
#クリスマスとかバレンタインの10カ月あとの数値がヒットする確率たかいたか…あったりして…
銀行とか変更しろ変更しろ言ってくる (スコア:1)
パスワードをマメに変更すると言うことは、覚えきれないので
どこかに紙に書いたり、エディタにメモったりする機会が増えると言うこと。
となれば、その紙だのデータだのそのものが漏洩しやすくなる。
一度パスワードを決めたら動かす必要がない、というほうが安全。
未だに銀行のネットバンキングにログインすると
「パスワードが長期間更新されていません」
とか出る。何かあったときの責任逃れのためかとすら思える。
Re:銀行とか変更しろ変更しろ言ってくる (スコア:3)
一番最後の文字を"1"にする。
expire されたら"2"にする。
さらにexpireされたら"1"に戻す。
なんて余計な作業が発生するだけだったりしますね。
Re: (スコア:0)
「直前3回までに使用されたパスワードは使用出来ません」
#そして0→9のループが始まる
Re:銀行は使える文字を何とかして欲しいよ。 (スコア:2)
ネットバンキングを扱っている銀行によってこんなに違うわけです。
・英数字+記号(# $ + - . / : = ? @ [ ] ^ _ ` | )が使える
・英数字大文字小文字区別
・英数字区別なし
・数字のみ
数字のみなんてホントいいのかって思いますよね。
Re:銀行は使える文字を何とかして欲しいよ。 (スコア:1)
ジャパンネットバンクは8文字しか使えません。
なんとかしろと。
Re: (スコア:0)
取引に関してはワンタイムパスワードのハードウェアトークンの運用でガードしているという立場ではないでしょうか。
確かに、ログインできてしまうと通帳の中とかはぞかれまくりのような気はしますが、そこから先には進めないはずです。
# パスワード運用をするなら、もっと長いパスワードを使わせろ、という点については同意です。
# あるいは、ログイン自体用にもう一本ワンタイムパスワードのトークン出してくれるとか(で、どっちがどっちかわからなくなったりして。笑)。
Re: (スコア:0)
ちょっと調べただけでは分かりませんでしたが、そういうのがあって、国とかが銀行に対して一斉に対応しろと指示すれば簡単なんですけどね・・・。
Re:銀行とか変更しろ変更しろ言ってくる (スコア:1)
>どこかに紙に書いたり、エディタにメモったりする機会が増えると言うこと。
>となれば、その紙だのデータだのそのものが漏洩しやすくなる。
それは定期的変更とは関係無い。
各サイト毎に全て異なるパスワードを使ってれば、
(そしてそれは適切なパスワード運用に必要不可欠だが、)
普通は既に紙のメモを金庫に入れるなり、暗号化した
テキストファイルをUSBメモリに入れるなりして管理してるでしょ?
>未だに銀行のネットバンキングにログインすると
流石にネットバンキングは別格でいいと思うよ。
財産がかかってるから。
Re:銀行とか変更しろ変更しろ言ってくる (スコア:1)
>何かあったときの責任逃れのためかとすら思える。
それは大いに感じるが、某ネットバンクではパスワード長が最大8桁なので、万に何十かの確率でやられるかも知れない。
仕方ないので不本意ながら指示に従って変更しています。
「指示通りに変更していたのだから利用者の過失はない」というためのアリバイ作りですな。
なんだかなあ。。。
ケータイメール(おふとぴ) (スコア:0)
それでOTPなんてのもあるわけだけど、それを送る先のメールアドレスとして、PCはセキュリティが弱いからケータイにしろと言ってくる銀行がある。そういうものなのだろうか。
OTPの送信先メールアドレスをケータイにしないと、振り込み上限金額なんかの制限が厳しくなるんだけど、謎なのはOTP使わないサービスまで制限が厳しくなること。
ちなみにその銀行、もうメール使ったOTPは諦めたのかトークンに切り替えるそうだけど。
Re: (スコア:0)
PC向けにメールで通知するタイプのOTPに関しては、それを読み取るマルウェアによって実際に被害が出ている [naver.jp]ので…
歴史的経緯? (スコア:1)
Re: (スコア:0)
「パスワード漏洩事故が怖いという問い合わせが多くて困る。 とはいえコレで大丈夫という機能要件を出すこともままならぬ。 これ一休よ。金をかけずになんとかするのじゃ」
ポクポクポクチーン
「定期的に変更すれば安全だと説明しましょう」
とりあえず参考までに (スコア:1)
なんかちょっと前に/.で以下のURLを見たなぁと思ったけど
検索するのも面倒なのでURLだけ貼り逃げ。
実際、パスワードはどれくらいの頻度で変えるべきですか?
http://www.lifehacker.jp/2012/12/121217changepassword.html [lifehacker.jp]
そもそもパスワード認証自体が限界 (スコア:1)
かと言ってそれに代替しうる効果的かつ汎用性の高い認証方法ってまだ世に出てきてないんですけどね。
一人以外は全員敗者
それでもあきらめるより熱くなれ
Re: (スコア:0)
漢字使える様にすれば?表意文字なら長くても覚えやすいんじゃない。
意味がある (スコア:1)
・期限切れアカウントを棚卸して一時無効化できる
・期限切れアカウントで通常ログインが決して出来ないシステムなら
長い間使用しないアカウントを自動で無効化できる。
(期限切れ後のログインで、期限切れ後n日(ある程度短め)はパスワード変更を要求し、
それを過ぎたらログインもパスワード変更も通常手段では無理として
自動的に無効となるようなシステムも含む。)
ただ、頻繁すぎる変更要求はムカツクので1年~半年間隔程度にしてほしい。
[Q][W][E][R][T][Y]
社外から認証する場合 (スコア:1)
むしろ変更よりも2要素にしてほしい
# 短期間でも変更するまでの期間があれば、データとれちゃうし、長期化しないだけで同じじゃないか...
# だったら根本的には(ショルダーハック程度では)アクセスできなくなる2要素がいいよ...
社内に閉じたものであれば、(権限ありのひとの退社などもあるので)一定の特性は認めるんだけど。
あと、社内でさらに個人に閉じるのであれば、長いパスワード必須にするだけでいいよもう。
# てか使い回しチェックのほうがリスクになるじゃんか(パスワードリスト化されうるという意味で)
ぶつぶつ...
M-FalconSky (暑いか寒い)
実際のところ理屈ではどちらなのでしょう (スコア:1)
タレコミのリンク先は読んだけど、他の人達の考えはどうなんだろう
パスワードを変えるのは (スコア:0)
不正アクセスが疑われるときだけでいいでしょう。
その代わり、ログインの失敗数やこれまでにログインした時間などをきっちり監視できるようにするほうがまともだと思う。
Re: (スコア:0)
そのときが分からないから定期的に変えるのでしょう
漏洩で失敗数0かもしれないし、時間チェックも当然監視もれはある
顧客情報ン万人がパスワードとともに流出!それに企業が気づいたのは一年前!
とかだったらもし定期的に変えていて、かつ犯人にアクセスされる前なら
防げるわけですし
どうせ頭は一個だし (スコア:0)
覚えきれなくなるよりはましかな
Re: (スコア:0)
ほとんどの人は8~12桁のパスワードを30個も用意しておけば余裕で足りるだろうから、
覚えきれなくなることは無いと思う。
Re: (スコア:0)
おれ平均以下だから360桁の記号列は覚えられそうにない。
パスワードを使いまわしていなければ (スコア:0)
の話でしょう。
現実として殆どの人がパスワードを使いまわしている上、パスワード流出がしょっちゅう起こり、また気付かれない流出もあるかもしれないと考えると、定期変更は一定の効果はあるでしょう。
かく言う自分は数種類の使いまわしの上、定期変更もしてないですけど。
Re:パスワードを使いまわしていなければ (スコア:1)
どっちかというと優先順位の問題で、
のどっちにエネルギーを投入した方が効果的か、というと、パスワードの使い回しをやめる方が高いし、今時ならパスワード管理ソフトもあるし、決め方を工夫すれば完璧ではなくても、かなり安全性が高いパスワードを使える、ということじゃないかなぁ。
パスワードの決め方は、オリジナルがだれの発案だったか忘れちゃったけど、
といった具合に決めれば、ある程度、普段から使うサービスに対するパスワードは覚えていられます。
Re: (スコア:0)
それは使い回しが悪で定期更新しないのが悪ではない
と書かれている
Re: (スコア:0)
おいおい、「パスワードは定期的に変更したほうがいい(とされている)」という事は犯罪者側にとっても常識なんだから、パスワードを入手できた時点でできるだけ早く悪事を働くはず。
確かに「一定の効果」はあるかもしれないけど、その「一定」はものすごく小さいんじゃないかな。
Re: (スコア:0)
「一定」にあたるものは長期的に情報を盗聴したい。という目的ぐらいしか本当思いつかない
Re: (スコア:0)
実際にはパスワードを使いまわす人や定期変更なんてしない人が大多数なんですよ。
「パスワードは定期的に変更したほうがいい」は所詮理想に過ぎない。
実際は流出したパスワードがpastebinだとかWinnyに流れたりして、それを色々な色々なサービスで試す人がまた別だったりする。
Twitterで流出したパスワードが例えばMixiの様な各国ローカルなサービスで試されるには一定の時間がある訳です。
或いは、クラックやパスワード入手までをゲームと考えていて、実際に不正行為や利益目的に用いずパスワードを晒すだけのクラッカーもいる。
アカウントの(特
運による強化 (スコア:0)
現在のパスワードが99だとして、攻撃者は1から順に100まで攻撃してくる。
1つ試すのに時間がかかるとして、攻撃が40まで来た時に、偶然自分のパスワード変更時期がきて、これまた偶然40以前に変更したら、大成功!!
でも41に変更してしまったら、変える前ならまだまだバレなかったものが即バレる。
この場合、結局パスワードは100通りで変更しようがしまいが1/100の確率で必ずヒットする。
文字数を増やして分母を増やす意外にパスワードを強化する方法はないってことだよね。
基本的に無意味? (スコア:0)
いままで意味ないと思っていたけど、このブログを読んで逆に意味あったんだなって私は思ったのだが、大半の人は「基本的に無意味」って理解なんですかね。
確かに無意味と思われる定期変更の要請が現状では多いと感じるけど、ケースバイケースでしょ。タイトルやストーリーは煽りすぎじゃないか?
#このストーリーのように特定のケース"のみ"と取るかどうかの違いなのかな。
Re:基本的に無意味? (スコア:1)
"基本的に"より強固な認証方式にしろ、と。
単純に無意味といってしまえばパスワードの定期変更が失われるだけでしょうから、タイトルだけだと確かに言いすぎな感もあります。
# ただ、パスワードの定期変更によって起きやすくなる使い回しの問題などが大きいなら、単純になくなったほうがいいのかも。
にゃー。
Re: (スコア:0)
同意。例えば内部犯行についてはどうか?「「攻撃されている」ことをトリガーとして変更」というが、「攻撃されている」とわからない攻撃はどうするのか?とか、例外は消せないよね。
Re: (スコア:0)
> 例えば内部犯行についてはどうか?
内部犯行の場合は、定期的変更はほぼ無意味でしょ。
たぶんバックドアも植えつけられてて、パスワード変更しようが何しようが、やり放題ですよ。
> 「攻撃されている」とわからない攻撃はどうするのか?
くだんのページに『サイト側も気づかない「完全犯罪」の可能性が高いわけです。
この場合は、攻撃者が再度攻撃すると、パスワードを変更していても防御できません』
って書いてありますよ?
Re: (スコア:0)
バックドア植え付けられるようなケースばかりでもないでしょう。
素人さんのショルダーハックなどかもしれないし。
労力に比した効果が得られないというだけで、
無意味なんてことはないと思うんですけどね。
Re:詭弁じゃないのこれ? (スコア:1)
別レスでも書かれてるけど、パスワード長だけに限った話でも、
短ければそれだけですごく見つけやすいから定期的に変更しても意味はほとんどない
長ければそもそもたどり着ける確率が極小になるから、定期的に変更する意味がない。
替えることによってアタック済の文字列へ逃れる確率と、未アタックの文字列へ突っ込んでしまう確率は、
パスワードの長さが長くなるほど等価か、最悪後者に偏って行くのはわかるだろう。
結論としてほぼ無意味、なんだよ。
これは他のセキュリティ手段の話でも、内容は変わってくるけど同等。
無意味を実行しで無駄な労力をするのは個人の勝手だけど、まあ周りに推奨するものではないよね。
その上短いサイクルでの定期変更の害悪は言わずもがな。
Re:意地で定期変更のメリットを考えてみた (スコア:1)
> という話だけが独り歩きして広まり、無防備なパスワードを永遠に使い続けられるという悪影響は確実に出るので、徳丸氏の安易な発言は支持できないです。
> ちゃんと説明付で広まるならいいですが、そんなの無理ですよね。
(意地とわかった上で書く)
同じ文脈で定期的にパスワード更新することもあてはまるよね...
===
「定期的にパスワードを更新すればいい」という話だけが独り歩きして広まり、弱いパスワードになりがちという悪影響は確実に出るので、今迄の定説は支持できないです。ちゃんと説明付で広まるならいいですが、そんなの無理ですよね。
===
的な
M-FalconSky (暑いか寒い)
Re:意地で定期変更のメリットを考えてみた (スコア:1)
普段打っているpasswdは、それなりに速く打てるが、
passwdを替えた直後は、1文字づつ確認する様に打つ…しかも、無意識に呟いてたりするし