アカウント名:
パスワード:
よく「パスワード管理ソフトがウイルスでやられたら!」って否定する奴居るけどパスワード管理ソフトからパスワードが流出する事例と比べたらネット経由でサイトが陥落するケースの方が100000000万倍多い特に「人の頭で考えた・人が記憶するパスワード」が突破されるケースがほとんど
どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強そして生体認証でショルダーハッキング対策すれば完璧
ランダムで強度の高いパスワードを使う必要があったのは、多要素認証が無くパスワードに依存していた時代。
今のみずほ銀行だったら、振込機能の悪用には
(1) お客さま番号 (≠口座番号) … 知識情報 または 所持情報 (書かれているカードがあるため)(2) いつもと違う環境からのログインの場合、秘密の質問の答え1 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)(3) いつもと違う環境からのログインの場合、秘密の質問の答え2 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)(4) ログインパスワード … 知識情報(5) ハードウェアトークンのテンキーに振込先口座番号を入力して生成するタイムベースのHMAC (トークンを使用している場合) … 所持情報
の5つがいる。
例えば、上記のみずほ銀行のサービスの場合、インターネット経由での悪意のある人物による不正振り込みはハードウェアトークンに口座番号を入力できない時点で不可能なので、そもそもオンライン攻撃を防ぐためにパスワード強度を高める必要はまったくない。
(5) で所持認証は既になされているので、ログインパスワードを記憶せずに、ログインパスワードの強度を上げて端末に保存させれば、せっかくの多要素認証が「所持情報」だけになってかえって強度が低下してしまう。
例えば、家に侵入した泥棒や家族が振込機能を悪用しようとしたとき、それを確実に防ぐにはログインパスワードを「知識情報」として使用するしかない。多要素認証があるサービスでは、例え強度を犠牲にしても、ログインパスワードは記憶すべきだ。
パスワードを端末に保存させた時点で、「知識情報」が「所持情報」に変化するので、多要素認証ですらなくなることを認識すべき。
※なお、いまだに多要素認証に糞サービスならば、強度の高いランダムパスワードをブラウザ等に保存するのが良いだろう。
暗記して手入力する行為に慣れている方がフィッシング詐欺に利用されやすいっていう理論だと思います。
付箋に貼ってあるから大丈夫!
# ユーザーは斜め上が常である
いやいや、いつもブラウザにパスワードを保存してたら、フィッシングサイトではパスワードが出てこないので手入力をしないといけない時点でフィッシングに気が付くということです。
秘密の質問って、友人とか近親者に対しては秘密じゃないし、SNSとかの情報から類推できたりするので信用してない。結局、ランダムに生成した文字列をログインパスワードとかと一緒にパスワードマネージャーに覚えさせてる。(もちろん、パスワードマネージャーのパスワードは頭の中にしか置いていない)
秘密の質問は、不特定の口座番号やお客様番号を手当たり次第にアタックされることを防ぐ程度のもの。
例えば、パスワードを固定し、リバースブルートフォースをしようとした場合、秘密の質問で阻まれる。それだけのためにパスワードのような他人が推測できない文字列を設定する意味はない。
そんなところに労力を使うより、パスワードの強度を上げるほうが利便性の面でもセキュリティの面でもマシだと思うよ。
「多要素と言えなくなる」という原理主義的にはそうだとしても現実には「暗記したパスワード」が突破されるケースが一番多いって事実があるよねこれはどうして無視していいことになるのかな
わざわざ強調していて重要と考えているところ恐縮だけども「もうパスワードなんていらないよね?」の方向にセキュリティ業界は進んでいます"パスワードレス認証" のキーワードをもしご存じなければご一考ください
頭いいこと言っているつもりなんだろうけど、"パスワードレス認証" っていうのは、ログイントークンや公開鍵認証の秘密鍵を端末に保存することを前提としており(「所持情報」に該当)、その上でローカル認証の PIN(知識情報)や 指静脈認証等 (生体情報) を組み合わせることをセキュリティ上推奨している。
サーバに送信するパスワードでも、ローカル認証のPINでも、多要素認証を考える上での知識情報に該当するのは同じこと。
本質的に「パスワードに相当するもの」が必要なのは認めますが「ユーザーが忘れるかもしれないけど思い出す必要のあるパスワード」は不要ってことです。あと、PINとか生体情報とかは操作が似ているだけでパスワードじゃないです。
その内パスワード不要な認証方法の操作の仕方も忘れる時代がくるよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
パスワード管理ソフトを使え (スコア:0)
よく「パスワード管理ソフトがウイルスでやられたら!」って否定する奴居るけど
パスワード管理ソフトからパスワードが流出する事例と比べたらネット経由でサイトが陥落するケースの方が100000000万倍多い
特に「人の頭で考えた・人が記憶するパスワード」が突破されるケースがほとんど
どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強
そして生体認証でショルダーハッキング対策すれば完璧
時代錯誤。パスワードを端末に保存したら多要素認証ですらなくなる。 (スコア:3, 興味深い)
ランダムで強度の高いパスワードを使う必要があったのは、多要素認証が無くパスワードに依存していた時代。
今のみずほ銀行だったら、振込機能の悪用には
(1) お客さま番号 (≠口座番号) … 知識情報 または 所持情報 (書かれているカードがあるため)
(2) いつもと違う環境からのログインの場合、秘密の質問の答え1 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)
(3) いつもと違う環境からのログインの場合、秘密の質問の答え2 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)
(4) ログインパスワード … 知識情報
(5) ハードウェアトークンのテンキーに振込先口座番号を入力して生成するタイムベースのHMAC (トークンを使用している場合) … 所持情報
の5つがいる。
例えば、上記のみずほ銀行のサービスの場合、インターネット経由での悪意のある人物による不正振り込みはハードウェアトークンに口座番号を入力できない時点で不可能なので、そもそもオンライン攻撃を防ぐためにパスワード強度を高める必要はまったくない。
(5) で所持認証は既になされているので、ログインパスワードを記憶せずに、ログインパスワードの強度を上げて端末に保存させれば、せっかくの多要素認証が「所持情報」だけになってかえって強度が低下してしまう。
例えば、家に侵入した泥棒や家族が振込機能を悪用しようとしたとき、それを確実に防ぐにはログインパスワードを「知識情報」として使用するしかない。
多要素認証があるサービスでは、例え強度を犠牲にしても、ログインパスワードは記憶すべきだ。
パスワードを端末に保存させた時点で、「知識情報」が「所持情報」に変化するので、多要素認証ですらなくなることを認識すべき。
※なお、いまだに多要素認証に糞サービスならば、強度の高いランダムパスワードをブラウザ等に保存するのが良いだろう。
Re:時代錯誤。パスワードを端末に保存したら多要素認証ですらなくなる。 (スコア:1)
暗記して手入力する行為に慣れている方がフィッシング詐欺に利用されやすいっていう理論だと思います。
Re: (スコア:0)
暗記して手入力する行為に慣れている方がフィッシング詐欺に利用されやすいっていう理論だと思います。
付箋に貼ってあるから大丈夫!
# ユーザーは斜め上が常である
Re: (スコア:0)
いやいや、いつもブラウザにパスワードを保存してたら、フィッシングサイトではパスワードが出てこないので手入力をしないといけない時点でフィッシングに気が付くということです。
Re: (スコア:0)
秘密の質問って、友人とか近親者に対しては秘密じゃないし、SNSとかの情報から類推できたりするので信用してない。
結局、ランダムに生成した文字列をログインパスワードとかと一緒にパスワードマネージャーに覚えさせてる。
(もちろん、パスワードマネージャーのパスワードは頭の中にしか置いていない)
Re: (スコア:0)
秘密の質問は、不特定の口座番号やお客様番号を手当たり次第にアタックされることを防ぐ程度のもの。
例えば、パスワードを固定し、リバースブルートフォースをしようとした場合、秘密の質問で阻まれる。それだけのためにパスワードのような他人が推測できない文字列を設定する意味はない。
そんなところに労力を使うより、パスワードの強度を上げるほうが利便性の面でもセキュリティの面でもマシだと思うよ。
Re: (スコア:0)
「多要素と言えなくなる」という原理主義的にはそうだとしても
現実には「暗記したパスワード」が突破されるケースが一番多いって事実があるよね
これはどうして無視していいことになるのかな
Re: (スコア:0)
わざわざ強調していて重要と考えているところ恐縮だけども
「もうパスワードなんていらないよね?」
の方向にセキュリティ業界は進んでいます
"パスワードレス認証" のキーワードをもしご存じなければご一考ください
Re:時代錯誤。パスワードを端末に保存したら多要素認証ですらなくなる。 (スコア:1)
頭いいこと言っているつもりなんだろうけど、"パスワードレス認証" っていうのは、ログイントークンや公開鍵認証の秘密鍵を端末に保存することを前提としており(「所持情報」に該当)、
その上でローカル認証の PIN(知識情報)や 指静脈認証等 (生体情報) を組み合わせることをセキュリティ上推奨している。
サーバに送信するパスワードでも、ローカル認証のPINでも、多要素認証を考える上での知識情報に該当するのは同じこと。
Re: (スコア:0)
本質的に「パスワードに相当するもの」が必要なのは認めますが「ユーザーが忘れるかもしれないけど思い出す必要のあるパスワード」は不要ってことです。
あと、PINとか生体情報とかは操作が似ているだけでパスワードじゃないです。
Re: (スコア:0)
その内パスワード不要な認証方法の操作の仕方も忘れる時代がくるよ