パスワードを忘れた? アカウント作成
130979 story
セキュリティ

貧弱なパスワードは貧弱なウイルス対策ソフトよりも深刻な問題である 64

ストーリー by reo
今更ではあるが数字を見せられると納得させられる 部門より

ある Anonymous Coward 曰く、

本家 /. 記事 "Poor Passwords A Worse Problem Than Poor Antivirus" より、

ウイルスやワームについてはよく話題に上がるが、貧弱なパスワード管理のほうがより深刻な問題である、という調査結果が Channel Insider と CompTIA によって報告されている。Larry Walsh 氏が彼の Security Channel blog に書いたところによると、SIer やセキュリティサービスプロバイダはセキュリティ評価を行う際に、ウイルス対策ソフトよりもパスワード管理の方に多くの問題がある場合が多いと述べているそうだ。Walsh 氏やそのブログ記事は、ユーザーは依然パスワードについて無頓着であり、また現状のビジネスはこの深刻な脆弱性に気を払っていないと主張している。

Walsh 氏の記事で映画「スペースボール」が話題に上るが、これがどういうことかというとこういうこと (YouTube 動画, Lifehacker 記事より) らしい。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by harupunte (10435) on 2009年08月13日 2時05分 (#1621814) 日記
    パスワードなんて公私あわせれば数十に及ぶパターンを扱っているんですが、
    そうなるといちいち暗記なんてしてられません。
    さらに、定期的にパスワードを変更させられたりした挙句、ログイン失敗して無効になった日には、
    パスワードの問い合わせや再設定に余計なコストがかかるわけであり、ユーザに貧弱でないパスワード管理を要求するのは、
    もう今の時代、現実的ではないんじゃないでしょうか。

    そんな、全てのパスワードを定期的に変更しつつ、全てのパスワードをアルゴリズムから類推されないパターンにしつつ、
    それらをメモなど記録媒体に書き留めず頭の中に入れている人なんて、存在するんでしょうか?
    私にはそれらを一般ユーザに求めるなんてナンセンスとしか思えません。
    • 大半のパスワードについては、
      「暗号化してUSBメモリにでも入れて、それを鍵のかかった引き出しか金庫にでもしまっておく」
      で現実的にはOKだと思う。もちろん盗まれた場合は、パスワードを全部変更しなければ
      ならないのでかなりの手間なのだが。

      もちろん銀行のキャッシュカードの暗証番号みたいに、絶対に暗記しないとダメなのもあるけどね。

      親コメント
  • by Anonymous Coward on 2009年08月12日 18時48分 (#1621607)
    今日、pixiv にアカウントを作ったのですが、記号を含むパスワードを設定したところ、「パスワードには英数字しか使えません」と言われて驚きました。記号を 1 文字でも混ぜておくだけで、パスワードの強度は飛躍的に上がるのに。

    パスワードに記号を認めないのはどういった理由なのでしょうか。少なくとも、技術的に困難なことではありません。ウェブサービスを作成されている皆さんにちょっと考えてほしいと思った一件でした。

    # これを以って pixiv を悪く言うつもりはないので AC
    • by Anonymous Coward on 2009年08月12日 19時37分 (#1621647)

      XSSやSQLインジェクションのもとになるからとにかく入力に英数字以外のものを許してはならないというサニタイズ脳が、かえってシステムを危険にしてる実例ですね。

      親コメント
    • by Anonymous Coward on 2009年08月12日 19時42分 (#1621651)

      > パスワードに記号を認めないのはどういった理由なのでしょうか。少なくとも、技術的に困難なことではありません。

      わかってて書いているでしょうが、困難ではないですけど、
      確実にコストアップにつながりますよね。

      とりあえず、「&」「?」「"」「'」あたりはHTMLやSQLなどのために対処が必要でしょうね。
      使用言語やライブラリなどによってコードのほうは記号未対応の場合と一緒でいいときもあるでしょうが、
      テスト項目のほうにはきちんと盛り込まないといけませんね。
      (パスワード強度を上げようとしてSQLインジェクションなどに陥っては意味がないですよね)

      あと、「.」と「,」や「'」と「`」などの見間違えやすい記号を両方通すと
      書面等で通達するときにトラブルになりやすいかな?
      電話等の口頭の場合には「アポストロフィーって何?」とかなりそうですね。
      このあたりは英字の大文字と小文字を区別して受け入れる場合と同様にめんどくさそうです。

      まあ、Pixivの件はどうか存じませんが
      大体、必要なセキュリティとコストの兼ね合いで仕様が定まるでしょう、マトモな開発に依頼すれば。

      # 連投制限があるのでここで書いちゃいますが
      # パスワード数の上限設定はVARCHAR2(8)とかしちゃうせいでしょうね(大目に設定すればいいのに)

      親コメント
      • by Anonymous Coward on 2009年08月12日 21時19分 (#1621703)

        ・ユーザーが入力したパスワード文字列を保存するなんていう危険な実装をしようという時点で、そんな開発はまともじゃないし狂ってます。受け取ったら即座にハッシュにして、そのあとはプログラム内ではそのハッシュを扱えばいいだけです。パスワード文字列をそのまま保持するなんてとんでもない!

        ・ユーザーが入力したパスワード文字列を画面に表示する必要性はありませんので、これで特に問題は起きません。ユーザーの入力ミスを防ぎたいなら、二つの欄に二度入力させるなどの方法で対応すべきです。

        ・パスワードを忘れたユーザーに、ユーザー自身が以前入力したパスワードを通知する必要はありませんし、また、かなりのユーザーが同じパスワードを複数のサービスで使ってるため、万一第三者に不正取得された場合にも被害が自サービスだけではすまない大ごとになりかねません。
        ランダムな文字列を自動生成してそれを通知すべきです。自動生成する文字列に限っては、ややこしい記号を使わずアルファベットと数字だけを使うようにしておけばいいことです。

        親コメント
      • >確実にコストアップにつながりますよね。
        まったくです。

        まあ、ぶっちゃけいうと、今となっては桁数増やす方がずっと楽。
        20文字でも30文字でも,コンピューターの記憶容量からすると誤差みたいな物だし。

        ボトルネックは人間の記憶容量だな。
        最近は歳のせいか、物覚えが悪くて。

        親コメント
      • by Anonymous Coward on 2009年08月12日 21時13分 (#1621698)
        パスワードって、そのままDBに格納するんですかね?
        それだと、いずれにしろ、セキュリティ的に問題があるような気がする。

        一方向ハッシュ取って、BLOBか、あるいは、Base64かけたうえで、テキストとして保存するべきだと思うんですが。
        親コメント
      • >確実にコストアップにつながりますよね。

        それくらいを見込んでコストを計算しないとね。
        サービスを劣化させてコストを縮小したい..というのはわかるけど、劣化させて安くしましたがほめられるというのも問題だろ?

        >パスワード強度を上げようとしてSQLインジェクションなどに陥っては意味がないですよね

        そういう質の低いコードしか書けない安い人を雇って安くすると?

        >同様にめんどくさそうです

        面倒なら、そもそもそんなシステム組むのやめたら?

        親コメント
        • by Anonymous Coward on 2009年08月13日 9時25分 (#1621854)

          >>パスワード強度を上げようとしてSQLインジェクションなどに陥っては意味がないですよね
          >そういう質の低いコードしか書けない安い人を雇って安くすると?

          この人、正気なのかな。

          苦労して完璧にエスケープできるコードを書いて、十分にテストして安全性を保証するコストは、
          技術力の如何に関わらず結構なものです。しかもこのコストは無闇やたらと記号を入れるという
          決断さえしなければ、最初から要らないものだもの。しかも記号を入れても、とくにパスワードの
          強度が上がるわけでもないというのに。

          なんだか、「シートベルトもエアバッグもなしで、しかもそれを使用している時と同等以上の安全性
          を技術力で実現しろ」といわれてる気分。不可能じゃないけど、金と技術の無駄づかいでしかない。

          。。。。「タバコ自販機の顔認証」の方が例としては良かったかな?

          親コメント
          • >なんだか、「シートベルトもエアバッグもなしで、しかもそれを使用している時と同等以上の安全性
            >を技術力で実現しろ」といわれてる気分。

            ちゃんとしたモノが作れないので、シートベルトもエアバッグも付けられないし、
            付けるとコストがかかっちゃうので、付けないということを言いたいわけですね。

            必要なものが何かを理解してからプログラミングなり設計をされるとよいでしょう。

            親コメント
      • by Anonymous Coward

        > わかってて書いているでしょうが、困難ではないですけど、
        > 確実にコストアップにつながりますよね。

        その程度でコストアップとかいうのはサニタイズ脳じゃないですかね。

        > 書面等で通達するときにトラブルになりやすいかな?

        パスワードを書面で通達するんですか?
        初期パスワードなら紛らわしい文字は使わなければいいだけ。

        • by Anonymous Coward on 2009年08月13日 20時02分 (#1622243)

          かつてユーザ数2000人ほど(コンピュータリテラシは低い)の組織に
          システムを導入したときの話ですが、初期パスワードは自動生成文字列を割り当てました。

          が、紛らわしい文字を使うとログインできないと苦情が来て対応に追われることが予想されたため、
          0, o, O, 1, l, I, i, j, c, C, p, P, s, S, u, U, v, V w, W, x, X, z, Z は使わないようにして
          生成しました。

          こんなんでも一見複雑そうに見えるパスワードにはなりますし、
          初期パスワードとしてユーザ名 + 番号みたいなものを与えて
          パスワードってそういうものなんだ、みたいな間違った学習を
          ユーザにさせてしまうのはよろしくないですし。

          親コメント
      • by Anonymous Coward

        だれか、このレスに「参考になる」をモデレートしてくれないかなぁ。

        駄目なSIerがどういう間違いを犯すか、それをどう指摘・修正すれば良いかについて、大いに参考になるよ。

    • オフトピかもしれませんが。

      1年ほど前の話なので、今はどうだか知りませんが、
      Amazonのログインパスワードについて、使える文字や文字数制限の注意事項が見あたらなかったので、
      英数字・記号を混ぜたパスワードを設定していました。問題なくログインできていました。

      あるとき、欲しいものがあったので『1-click注文』しようとしたら、
      ログインしているにも関わらずなぜかパスワードを求められ、しかも正しくないパスワードだと言われました。

      しばらく格闘した後、Amazonのログインパスワードを、記号を取り除いた新しいパスワードにしたら、
      『1-click注文』も使えるようになりました。

      Amazonの中の人に、しっかりしてほしいと思った出来事でした。

      親コメント
    • by Anonymous Coward on 2009年08月12日 19時03分 (#1621621)

      何だかpixivが特別なような言い草ですが、web上のサービスでパスワードに記号が使えない物は、感覚的には半分ぐらいはあります。
      pixivはかなりのロングパスワードを受け付けるので、まだ良心的な方でしょう。

      #記号が使えなくても覚えられないぐらいの長いパスワードをKeePassなどで一括管理する方がいいと思うな
      #もちろんマスターパスワードは記号入りかつ長い物を覚えておきます。一つなら可能だし。

      親コメント
  • by Anonymous Coward on 2009年08月12日 19時05分 (#1621623)

    先日クレジットカード番号漏洩を起こした、アミューズのネットショップy「アスマート」 [amuse.co.jp]ですが、会員登録をしようと、パスワードに10文字を入力したところ、「パスワードは8文字以下」でないといけないとのエラーが出まして、試しに、1文字にしたところ登録できてしまうようでした。

    いったいどういう理由で、パスワードの長さを短くさせているんでしょうね。

    • その昔、「年」の格納に4桁も使うなんて ... という時代もありました。
      長いパスワード好むユーザからは、追加料金取りましょう。

      銀行も免許証も、よんケタ(+数値のみ)なんだよなぁ。

      親コメント
    • by Anonymous Coward
      #define MAX_USERNAME 32
      #define MAX_PASSWORD 8

      struct USER_T {
          char[MAX_USERNAME+1] firstname;
          char[MAX_USERNAME+1] lastname;
          char[MAX_PASSWORD+1] password;
          /* ... */
      }
    • by Anonymous Coward

      え?
      DBにだって制限あるんだから1PBの文字列入れさせろとか言われても困るよ

      文字数の制限があることじゃなくて文字数の制限が短すぎるのが問題なんだよ

      • by Anonymous Coward

        いっそのこと、パスワード無しにしちゃえば。ユーザー名がパスワード代わり。
        メールアドレスさえあれば、会員登録はできるんだろうし。

  • by Blatt (36190) on 2009年08月13日 1時26分 (#1621807) ホームページ

    貧弱な人間は貧弱なパスワードよりも深刻な問題である。

    ○か×か?

    # Yes, Sir.

  • by xan (25964) on 2009年08月13日 10時24分 (#1621870) 日記

    外出中にうちのセキュリティ担当者から、“今日中に全パソコンにセキュリティ対策を施さなくてはならないので君のパスワードを今この電話で教えろ”とか電話がかかってきた時から、馬鹿馬鹿しくなって適当なパスワードを使ってますねぇ。

    最近セキュリティ関係に(上が)うるさくなってるので仕方がないのでしょう。

  • by Anonymous Coward on 2009年08月12日 18時25分 (#1621593)
    rootみたいな
    • 最近はsshdもroot禁止してないの方が珍しいし、コンソールからもsudoのみならあんまり問題ないと思ってる。

      ところでこのrootを変更するにはどこいじる必要あるんだろう?
      もしかして/etc/passwd(shadow)を書き換えればOK?
      # いますぐ試すのは怖いな

      親コメント
      • by Anonymous Coward

        rootをadministratorに書き換えて遊んだ事があるけれど
        どこにハードコードされた地雷があっても泣かない覚悟があるならやってみたらいいよ

    • なるほど
      貧弱なユーザーと呼ばれないために
      漫画雑誌の怪しげな通販グッズを買うんですね

      ........古!
      --

      ------------
      惑星ケイロンまであと何マイル?
      親コメント
    • by Anonymous Coward
      おれは root をやめるぞ!ジョジョーーーッ!!

      インストール時にパスワードを聞かれますが
      その際スーパーユーザの名前も聞くようにすればいいんですかね
    • by Anonymous Coward
      それって、rootのパスフレーズを数バイト増やす以上の効果はないのでは?
  • by Anonymous Coward on 2009年08月12日 19時13分 (#1621630)
    指紋認証やFeliCaリーダー対応にしてくれ
    • by Anonymous Coward
      万が一事故で指を失ったらどーすんの
  • by Anonymous Coward on 2009年08月12日 21時22分 (#1621706)

    タイトルの貧弱なウィルス対策ソフト(本家:Poor Antivirus)って何だろう?重くてPCに異常おこして肝心のウィルスは見逃し三振するようなヤツかしら?と思ってリンク先を読んでみたら...

    「定義ファイルを更新してない」「更新期限切れで放置」「ウィルス対策ソフトを入れてない」のことでした。「Antivirus softwareそのもの」が貧弱なんじゃなくて、「Antivirus行為全般」とか「Antivirus softwareの使い方」がなんですね。

    そしてそんなのが1/3以上居るよ。怖いだろう?でももっと怖いのはパスワードが...と続く。
    「ウィルス対策がなってないのも問題だが、破られやすいパスワードはもっと深刻な問題である。」
    という論調でしたとさ。

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...