パスワードを忘れた? アカウント作成
12827028 story
アメリカ合衆国

米セキュリティ指針で「パスワードの定期変更」「秘密の質問」が否定される 43

ストーリー by hylom
最初に言い出したのは誰だ 部門より
あるAnonymous Coward 曰く、

NIST(米国国立標準技術研究所)の傘下部門であるCSD(Computer Security Division)は先週末、米国の政府機関がセキュリティ対策を実施する際の指針となるSpecial Publicationのドラフト版を公開したが、その中で「パスワードの定期変更」「秘密の質問」を明確に否定したことが注目を集めている(Special Publicationドラフト版INTERNET Watch)。

この文書では、パスワードの定期変更を強いるとユーザーは「Password1」といった具体に末尾に数字を追加するなど意味のない対応を取ることが多いことから、システムはパスワードの定期的な変更をユーザーに要求すべきではないとしている。また合わせて秘密の質問も使用するべきではないとしているとのこと。

これらはいずれも以前から指摘されていた点ではあるが、政府機関が指針に記述したということで、現状はまだドラフト版ではあるものの、今後の認証システムの開発に大きな影響を与えることが予想される。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 秘密の質問 (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2016年06月28日 12時50分 (#3037417)

    あれは本当に意味が分からない。
    何のために存在するのか。

    • by Anonymous Coward on 2016年06月28日 12時54分 (#3037420)

      管理者が見てはぁはぁするため

      親コメント
      • by Anonymous Coward

        何の脈絡もなく母親の旧姓とか尋ねられるもんな

        # 他人の母親の旧姓ではぁはぁする変態

    • by Anonymous Coward on 2016年06月28日 13時48分 (#3037456)

      パスワード忘れたって問い合わせを少しでも減らしたいヘルプデスクのためだろ。

      彼らにしてみりゃ全体のセキュリティレベルなんてどうだっていいんだから。

      親コメント
    • by Anonymous Coward

      業界大手が俺達すげーと思い込んで、金融機関に売り込みかけて、担当者もセールストーク鵜呑みにした結果があれ。

      • by Anonymous Coward
        ソーシャルハックを容易に行なうための抜け穴でしかないわけで、クラッカーが自分の仕事の手間を省くために(素性をごまかして)売り込んだもんじゃないのかなぁ。

        大手かどうかに関わらず、セキュリティを考えてる人が、大穴を空けることになると気付かないわけはない手法ですからね。
        • by Anonymous Coward

          エンジニアには正常系しか理解できないセキュリティを考えられないタイプがいる
          右クリックを禁止したり脆弱性指摘を握り潰したり数百万人ブロックしたり

      • by Anonymous Coward

        担当者の頭の出来が関係してるのか。

        そういや、セキュリティに関して一番攻めの姿勢(と個人的に思ってる)東京三菱UFJは秘密の質問を採用しなかったはず。
        ゆうちょなんかは遅れて秘密の質問を導入するお粗末さだったし。

    • by Anonymous Coward

      しかも母校や家族の名前みたいな全然秘密じゃない質問とか、好きな映画みたいな曖昧な質問から選択するしかない糞ばかり
      せめて質問内容も自由に入力させろよ

  • by Anonymous Coward on 2016年06月28日 14時18分 (#3037498)

    昔のパスワードシステムやアクセス監視運用の時は多少意味があったかもしれないが、
    #いや秘密の質問はセキュリティじゃなくトラブル対策だろ間違いなく
    アクセス・ログイン履歴が簡単に見れるのが当たり前になった、2段認証の登場等で全面的に意味がなくなり、
    むしろ管理対象の増加とかで元々あったデメリットがどんどん重くなっているだけって感じだと思われ。

    • by Anonymous Coward

      サイト数と中身の変化もあるかもね。

      むかーしは、サイトは1~数個で、しかもまあそれなりに重要な奴だけだったと思う。
      今だと、たとえばSNSやTwitterやブログやLINEやスラドやニュースサイト×10とかで、
      全体で何十ってサイトを利用し、しかもその多くが無償か大したことのないサービスだったりする。

      一つのサイトで三ヶ月おきにパスワード変更くらいなら可能でも、
      何十というサイトの全てで定期的な変更をするのは現実的じゃ無かろう。
      各サイトごとに個別のパスワードを設定しているならなおさら。

      アクセス監視や二段階認証など含め十分なセキュリティ対策が施されている場合に、
      各サイトごとに異なるパスワードを設定して長期間変更しないのと、
      全サイトで同じパスワードを設定して短期間で変更するのとだと、
      たぶん前者の方が優れていると思う。

    • by Anonymous Coward

      2要素認証の方が訳としてふさわしいと思うけど
      スラドでも2段階認証の方が優勢な点に愕然とする。

  • by Anonymous Coward on 2016年06月28日 12時49分 (#3037416)

    この流れを広めるんだ

  • by Anonymous Coward on 2016年06月28日 13時19分 (#3037438)

    意味のない対応をするから要求するべきではないって結論はなぁ…

    • Re:定期変更 (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2016年06月28日 13時45分 (#3037452)
      意味のない対応ってのは、かなり好意的な解釈だよ。
      現実には危険な対応をとりがちで、リスクを減らすどころかリスクを高めてるのが現実だから、止めろって話。
      (勧告の内容は「止めたほうがいい」ではなく「止めろ」だからね。)
      親コメント
    • by Anonymous Coward on 2016年06月28日 14時36分 (#3037520)

      会社のドメコンポリシーが「パスワード12世代履歴管理」で最低13パターン必要なんだけど
      自分の知る限り、周りはみんな末尾に連番つけてベースは同じ文字列使ってるだけですね

      縛りが緩かった昔は定期変更+同一パスワード無効だけでしたけど、それでも無限に
      incrementする連番をつけて同じ文字列の人とかいたな

      xxxxx1 -> xxxxx2 -> xxxxx3 -> ...

      #そりゃそうなる

      親コメント
      • by Anonymous Coward

        アルファベットだけのパスワードを許可していたシステムで、数字も入ってないといけないように変更指示をすると、アルファベットの最後に数字を追加するユーザーが多いらしい。

        • by Anonymous Coward

          定期変更や秘密の質問もだけれど
          アルファベットと数字を混在させなきゃNGとか
          連続する文字3つ以上はNGとか
          IDに含まれる文字列はNGとか
          6文字以上、8文字以上、12文字以下・・など文字数制限強制とか
          システムによって違うローカルルールもどんだけ意味があるのか

          • by Anonymous Coward

            2年ぐらい前まで動いていた、某保険屋の加入者向けサービスと仲介業者向けサービスは、アルファベット4文字固定+数字4文字固定だった。

      • by Anonymous Coward

        なるほど。連番禁止にポリシーを変更しておくか。

        • by Anonymous Coward on 2016年06月28日 17時23分 (#3037722)

          Password!
          Password?
          Password#
          Password*
          Password_

          親コメント
          • by Anonymous Coward

            それでも結局、!だったのか、?、#、*、_のどれだったのか分からなくなる。しかもパスワードの変更時に直前3回と同じパスワードの使い回し不可とかシステムに怒られて涙目。

        • by Anonymous Coward

          早く帰りたいなら、今すぐパスワード再設定問い合わせ画面と再設定自動処理を用意するんだ!

        • by Anonymous Coward
          いやいや、冗談抜きに、

          >パスワードの定期変更では「Password1」といった具合に末尾に数字を追加するなど、その規則性が容易に推測できることなどから、システムはパスワードの定期的な変更をユーザーに要求すべきではないというもの。

          この文面だけ読むと「末尾の数字だけの変更がNG」と解釈するアホが出てくるかもしれない。
      • by Anonymous Coward

        すいません、正にコレですw
        某銀行のe-bankingで定期変更を強制されるので。
        いちいち覚えてらんないっての!

    • by Anonymous Coward

      数百と管理するパスワードの定期変更とか不可能です

      変更を強制されるシステムでも
      実際のユーザは嫌気がさして強度が下がってたり……

    • by Anonymous Coward

      定期変更のメリットってなに?

    • by Anonymous Coward

      規則の方をユーザが実施可能な形に合わせるべきで「定期変更に耐えられないユーザが悪い」では
      規則の存在する目的である情報やアクセスの保護が達成されない

      それでも規則の方を押し付けるなら書いた人間が不達成の責任を取るしかない
      定期変更推進派が結果的に弱いパスワードから発生した損害を全部被ってくれるなら構わないけど

  • by Anonymous Coward on 2016年06月28日 14時04分 (#3037477)

    >今後の認証システムの開発に大きな影響を与えることが予想される。

    パスワード定期変更と秘密の質問をdisableする簡単なお仕事が増える予感!

  • by Anonymous Coward on 2016年06月28日 16時50分 (#3037675)

    共通の文字列の末尾にサイト名を追加したパスワード使ってるんだけど…。
    そういう人多いんじゃない? どこが違うの?

    うーん、別に積極的にパスワード変更を擁護するつもりはないけど、
    なんか、これも含めて、いままで聞いた理由が全部いまいちなんだよなー。
    なんでこんな弱い根拠で、ここまで断定的なの?っていう違和感がある。

  • by Anonymous Coward on 2016年06月28日 23時16分 (#3037978)

    いまだに"開けゴマ"から進歩しないんだから人類の知恵なんてないも同然だね

    • by Anonymous Coward

      いや待て、"開けゴマ"は音声認証だぞ。(しかも言葉だけの認証で事前学習が不要。発声した相手がアリババでも拒否しなかった)

      #むしろまだ追いついていない

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...