総務省が「パスワードを定期的に変更する」とのセキュリティ対策を推奨したことが議論に 128
何週目の話だ 部門より
総務省が12月18日に『リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)』という資料を公開した。流出したユーザーID/パスワードのリストを使って複数のサイトに対しログインを試みるというタイプの攻撃が最近増えていることから、これに対する対策方法を紹介するというものだが、ここで対策の1つに「パスワードの有効期間設定」が紹介されている点が議論になっている(セキュリティ研究者高木浩光氏のTweet、セキュリティ研究者徳丸浩氏のTweet、Togetterまとめ)。
パスワードの定期的変更がセキュリティの向上にどれだけ意味があるのかについては、たびたび徳丸浩氏がまとめている(パスワードの定期的変更に関する徳丸の意見まとめ、パスワードの定期的変更について徳丸さんに聞いてみた(1)、パスワードの定期的変更について徳丸さんに聞いてみた(2))。
パスワードを定期的に変更することについては意味が無い訳では無いが、そのメリットよりもデメリットのほうが多い、というのが「パスワードの定期的変更は推奨されない」と主張する側の理由だ。最近では多数のオンラインアカウントを所持しているユーザーも多く、それを頻繁に変更することは負荷が高いという現状もある。
いっぽう、総務省の文書ではパスワードの定期的変更は、「流出したID・パスワードのリストの情報を古いものにして役立たなくさせる」とその有効性を述べている。
なお、総務省の文書では、パスワード管理の手間が省けるとしてパスワードマネージャの使用をすすめているが、パスワードマネージャを利用することの危険性(マスタパスワードの漏洩ですべてのアカウントにアクセスされてしまう、パスワードマネージャに不正なプログラムが組み込まれる可能性、クラウド型サービスの場合そのサービス自体に攻撃が行われる可能性)については何も紹介されていない。
非推奨というよりは、優先する対策ではない (スコア:5, すばらしい洞察)
パスワードを定期的に変更することについては意味が無い訳では無いが、そのメリットよりもデメリットのほうが多い、というのが「パスワードの定期的変更は推奨されない」と主張する側の理由だ。
十分に複雑で長くて、サービスごとに違うパスワードを定期的に変更しない場合と、安易で短いパスワードを使いまわしているものを定期的に変更している場合とでは、後者の方がリスクが高い、ということじゃないかなぁ。きちんとしたパスワードを設定していて、その上で定期的に変更するなら、「それは非推奨だ」とは言われないかと。もっとも、両方を実践できる人がどの位いるか疑問だけど。
Re:非推奨というよりは、優先する対策ではない (スコア:2, すばらしい洞察)
きちんとしたパスワードって、 「十分に複雑で長」いパスワードのことだよね。 複雑で長いパスワードを定期変更させるのってみんなが付箋使いはじめる条件じゃん。
Re: (スコア:0)
長いだけで、類推が可能な文字列を使う運用が始まるだけじゃないかな。
slashdotjp1
2slashdotjp
slashdotjp3
;
Re:非推奨というよりは、優先する対策ではない (スコア:2)
元コメさんの話でいう「充分長い」ってのは十数~数十文字のレベルで、
たとえ類推可能な単語が使われていようとも、フレーズが長ければ結果としてブルートフォースや辞書攻撃への耐性が高くなる(可能性が高い)、という話でしょう。
「vue#jnga32」よりも「Domo!HappyBirthdayJohnSmithSan!!」の方が強い、みたいな。
(でも流行り言葉を登録する人が続出したりもするんでしょうから、シビアな用途にはワンタイムなんとかとか使うべきなんでしょうけど)
酷い藁人形論法 (スコア:4, 参考になる)
何でも反対すりゃいいってもんじゃないだろ反抗期か。
「今使ってるサービスをやめて2段階認証等に対応した安全性の高い国内サービスのみ使用するように変更しろ(そうすればパスワードの定期変更をしないですむ)」
とか無茶振りだろ。どんなユーザ層空想してるんだ
バカじゃ無いのか
総務省が出してる本文には
① ID・パスワードの使い回しをしないなどの注意喚起を行う
② パスワードを定期的に更新し、リストを陳腐化する
③ ID・パスワード以外の認証要素を追加する
④ ID・パスワードの保管を徹底し、リスト化を防ぐ
⑤ 一定期間利用の無いアカウントを廃止し、不正ログイン後の悪用を防ぐ
⑥ 推測が容易なパスワードの設定を受け付けない
これだけ全部推奨されてて
「パスワードが既に流出している又は近い将来流出する可能性がある場合において、パスワードの定期的な変更を行うことは、攻撃の予防だけでなく、このような被害の拡大防止にも一定の効果があります。 」
「ただし、パスワードの有効期限を短くして利用者に頻繁に変更を求めすぎると、利用者が、他人に推測されやすい簡単なパスワードを設定する傾向に陥りやすく、窃取される危険性を高めることもあるので注意を要します。また、有効期間も一年、半年にするなど、事業者で管理している情報の価値に応じて設定することも一案です。」
と事業者向けとしては十分な書き方されてるじゃねぇか。これで何が不満なんだよ。セキュリティ対策に回す金なんざあるわけない中小事業者様にもちゃんと配慮してるだろ。
マスゴミじゃ有るまいし恣意的に抜き出した引用してなにがしたいんだか
いややっぱりおかしい (スコア:3, 興味深い)
全体的には割とよくかけている方だとは思うけど、不満があるとすれば「事業者側に定期変更を強いるシステムは(結論としては)有効です」となってしまっていることかな。
(文書にも書いてあるものの)「パスワードを変えることに一定の効果はある」は事実でも「パスワードの定期変更を強いることはむしろマイナス」という点の方が大きい、というのがポイントなのかと。
この文書を放置してしまうと、いろいろ書いてあるけど、結局総務省はやった方がいいと言ってるよね、と定期変更を強いるシステムが幅を利かせかねません。
Re:酷い藁人形論法 (スコア:3, すばらしい洞察)
セキュリティ対策に回す金なんざあるわけない中小事業者様にも
だからそこだよ。それも含めて、サービス提供側、利用側双方ともセキュリティに回す色々な(時間やお金などの)意味でのリソースってのは有限なんですよ。
だからある対策を推奨する事は他の対策の実施率を下げる行為だと認識すべきなんだよ。
あれもこれもそれもすべてぜんぶ!っていうのは効果が薄いように、
要点を絞って実効性の高い対策だけを推奨すべきなんだよ。
Re: (スコア:0)
ここはもうまとめサイトと変わらん
何度指摘されても改善されんし編集の給料がよっぽど安いんじゃないか
後はOSDNのお偉いさんにチクるしかなさそうだけど誰がやるの?
Re: (スコア:0)
まとまってすらいないんじゃないの?
個人的提案:定期的なパスワード変更よりも (スコア:4, 興味深い)
前置き:ユーザー視点的対策の話です。
定期的なパスワード変更よりも
「ログイン後に”最近ログイン試行した履歴”をだしてくれた方が、セキュリティ強度は上がるんではないだろうか。」
「前回ログイン履歴」を出してくれるところは結構、あるけれども「ログインの試行履歴」まで出してくれるところはあまり見ない。
「前回ログイン履歴」では自分が
①前回いつログインしたか覚えてないとわからない。
②ログインができているという事は攻撃が成功している。 が①の問題で攻撃成功も判別しづらい
という問題があると思うのです。
で、「ログイン試行履歴」をだしてもらった場合どうなるかというと。
①短期間に多くのログイン試行の失敗が発見されれば(自分のIDが)攻撃を受けていると判別できる。
人が本当に失敗する回数でなければ攻撃として判断して報告できる。
(もちろん、あまりに頻繁な攻撃があればシステム管理者側がロックなりIP拒否なりの対策を打つことは
前提として。)
②①の後のログインであれば「自分のIDに対して攻撃された事と成功している事を認識でき、
それをトリガーにその場でパスワード変更できる」
(もちろんこの時点までの情報は漏れているわけですが、管理側が攻撃を認識して連絡してくるより
通常は早く認識・対処できるでしょう。 よく使っているサイトならばですが)
逆に連続試行の後、ログインがなければ攻撃は失敗している事が判断できます。
もちろん個人的思いつきなので、反論、意見を歓迎します。
すでにそうなっているサイトなどの情報もお待ちしています。
Re: (スコア:0)
たしかヤフーでしたっけ。 直近利用サービス一覧を提供しているのは。
あとは…パソ通で繋ぎにいった時とかサーバーにsshで入る時とかLast login:は表示されてましたよね。
Re: (スコア:0)
もと※です。
Last login:
ではダメなのです。 ヤフーも確かに前回ログイン表示されますね。
でもそれではダメなのでは?。というのが元※の考えの元です。
もと※の「ログイン試行履歴」は「ログインに失敗した時刻と回数」も一覧表示されるべきでは?
というのが元※の趣旨であり、キモです。
攻撃の1回目で成功すれば別ですが、その確率はかなり低い。
つまりログイン失敗回数と間隔で
「自分のIDが攻撃を受けている。受けていた。
および攻撃の失敗・成功をユーザー側でも判断可能にする」
いうのが趣旨です。
元※にも書いたように、「Last login:」や「仕様サービス履歴」では、
「成功し
Re: (スコア:0)
もと※です。
Last login:
ではダメなのです。 ヤフーも確かに前回ログイン表示されますね。
ご自身のIDと間違ったパスワードでログインを試みてからアクセスしてみてください。
https://lh.login.yahoo.co.jp/ [yahoo.co.jp]
ご希望の機能ではありませんか?
Re: (スコア:0)
やってみましたが、
「ログインの失敗」については表示されませんでした。
これだと攻撃と不正ログインの判別がつかないのでは?と思ったわけです。
逆に問わせて下さい。
「不正ログインがされていた場合、この内容からどのログインが自分のものでない不正ログインと判別しますか?」
(アクセス元で大分絞れるとは思います。)
#2515276についてもここで返信させて頂きますが、
私は「攻撃自体が自分のIDだけである」なんていつ書きましたか?
「サーバーへの攻撃の一部に自分のIDが含まれ、自分のIDも攻撃を受けている場合」
の話だとわかりませんか?パスワードリストアタックやなにかの一部である場合です。
もちろん外部からIDとパスワードリストを取得して不正ログインされた場合、
ログインの失敗もないので、元※も適応できないわけですが。
Re:個人的提案:定期的なパスワード変更よりも (スコア:3, 興味深い)
ログインの失敗は、サービス開始当初は提供されていたんだけど途中から提供されない仕様に変わったんだよ。
多分、日常茶飯事的にアタックが繰り返されているんだろう。
#デグレードするような仕様変更を平気でするのはさすがヤフーと呆れざるを得ない
Re: (スコア:0)
まぁそんな攻撃はされないとしても、「ネトゲAを遊ぼうとしたら、ネトゲBのパスワードを使った身に覚えのない失敗履歴が1回あった。こりゃネトゲBがハクられたんだな」みたいなのが判るのは一応意味ありそうだけど。
タイトルがおかしい (スコア:2)
× 総務省が「パスワードを定期的に変更する」とのセキュリティ対策を推奨したことが議論に
○ 総務省が「サイト利用者に対してパスワードの定期的な変更を強制する」とのセキュリティ対策を推奨したことが議論に
Re: (スコア:0)
ストーリーもおかしい。
肝心の、総務省のそのリリースへのリンクが示されていないという・・・・・・・
(タレコミの情報元のツイートには示されている)
なので掲げておく。
「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表 [soumu.go.jp]
一気に (スコア:2)
生体認証推奨くらいまで言ってくれればよかったのに
パスワードよりID (スコア:2)
http://my.opera.com/desktopteam/blog/important-announcement-about-your... [opera.com]
個人が適当にするのが一番いいんだよねぇ (スコア:1)
パスワードは変更できることが前提のシステムなので (スコア:0)
パスワードを変更するのは(システムの特性上)必然でしょ。
変更しないことを推奨するよりは
変更することを推奨したほうがマトモかと。
Re:パスワードは変更できることが前提のシステムなので (スコア:4, すばらしい洞察)
定期的に変更される複雑なパスワードは難しいので,
定期的に変更することを推奨すると逆に強度の低いパスワードを設定するユーザが増えるリスクがあるという問題があるかと思います.
Re:パスワードは変更できることが前提のシステムなので (スコア:5, すばらしい洞察)
>定期的に変更することを推奨すると逆に強度の低いパスワードを設定するユーザが増えるリスクがあるという問題があるかと思います.
これでしょうね。
簡単に考えると。
「今月は12月だから、パスワードは "oresama12"、来月は "oresama01" でいいか」とか
3つくらい自分的定番のパスフレーズ用意しといて、それを順繰りに使いまわすとか。
Re:パスワードは変更できることが前提のシステムなので (スコア:1)
あるいは、パスワードマネージャを使う。
パスワードマネージャの安全性を確保するには…
Re:パスワードは変更できることが前提のシステムなので (スコア:1)
>パスワードマネージャの安全性を確保するには…
パスワードマネージャ・セキュリティアドバイザーとかいうアイテム(人?)が出てきたりして。
その次は、パスワードマネージャ・セキュリティアドバイザー・オーガナイザーとか。
#果てしない物語
Re:パスワードは変更できることが前提のシステムなので (スコア:1)
「絶対に破られない究極のパスワードを設定できるシステム」とは「何を入れても認証されないシステム」という結論にしか……
Re:パスワードは変更できることが前提のシステムなので (スコア:1)
>パスワードマネージャの安全性を確保するには…
もちろん自己責任です。
もし、問題がおきたら安全じゃないマネージャーを信じたお前が悪いのです。
#漏洩時のリスクを全部ユーザーに押し付けたいだけなんじゃ?
Re:パスワードは変更できることが前提のシステムなので (スコア:1)
#2515274のACですが、こちらにぶら下げる方が適切かと思いましたので、返信をば…。
> #漏洩時のリスクを全部ユーザーに押し付けたいだけなんじゃ?
激しく同意…まさにその通りって気がします。
『パスワードを(頻繁に)変える』『人に推測されないようなパスワードを使う』『パスワード
マネージャーを使う』『何も対処しない』…いずれを選択するかは自由ですが、その結果
については、自分で責任負う必要があります。
しかし、これらのいずれを選択していても、そもそも『認証システム自体の問題』は回避
出来ないのですから、そちらも何とかすべきですよね。
ただ、それを多くの方々に認識させるには、まずは『現状のシステムが、どんな性質の
ものでどのようなリスクが存在するか』を知らしめないと誰も動かない訳で…。
強制するものでも無いですから、やはり地道な啓蒙活動からしか始められないかなぁ…。
「パスワードマネージャー」はトレンドマイクロの登録商標です (スコア:1)
いやべつに「トレンドマイクロの回し者」とかはいいませんけれど。登録商標第5509286号です。
総務省の報道資料 [soumu.go.jp]によると、ワーキンググループにトレンドマイクロの人がいますね。でも対策本文には一般用語扱いで載っています(p. 5)。中の人がいいというならいいのでしょう。
Jubilee
Re: (スコア:0)
定期的にパスワード変更しないとログインできなくなるシステムならわかるけどね。
そうでなけければ、主張の根拠は何もない。
Re: (スコア:0)
#2515220とは別ACですが…。
例えば家の鍵などの場合、扉などは(特殊なスキルがあれば?)誰でも開けられる可能性がある訳ですが、
・鍵は自分(および家族など)しか持っていない
・ほとんどの人は鍵が無ければ扉などを開けられない
などの理由から、新しい鍵に変えると言うことをしなくても済んでいるんですよね?
# 適度な強度のパスワードがあるなら、それはそれでまぁ、良いんじゃない? …と言う状態かな。
しかし、その鍵について
・大家や前の借主が持っていた
・密かにマスターキーに相当するものが広まっている
などが判明した場合や可能性がある場合や、さらに少し予防的に
・もしかし
自分のパスワードは絶対に漏れない! (スコア:0)
自分のパスワードは、誰にも絶対に漏洩することはあり得ないと神に誓って言える人間だけが、パスワードの定期変更はクソ対応と言ってよろしいと思います。
これは自分が管理しているシステム限らず、別の誰かが管理しているシステムを利用している場合も同様です。
Re:自分のパスワードは絶対に漏れない! (スコア:2)
自分は安易なパスワードを使いまわさない。自分のユーザーも安易なパスワードを使いまわさないと断言出来る者だけが石を投げていい。
……お役所の人にそんなこと出来るんですかね(震え声
#ドラクエ10でアカハック食らってからはパスワードの定期変更は糞だと理解した。
Re:自分のパスワードは絶対に漏れない! (スコア:3, 興味深い)
総務省のシステムは三ヶ月以内ごとにパスワードの変更を強要される。
しかも過去3回と同じパスワードは不可となっている。
それが当たり前と思っているんじゃないの?
でも、IDは一人一個だろうし、複数のシステムで同じパスワードにしている人は多いかもね。
でも役人は責任をとりたくない(とれない)から、この手の指針であっても審議会ひらいて専門家のお墨付きつけてからじゃないと出さないと思うんだがなあ。
つまりこういう考え方の人が有識者に多いってことになる。
役人が独断で出したのなら、それはそれでビックリだわ。
Re: (スコア:0)
内部で動かしているサービスなら ActiveDirectory で統合認証して、パスワードポリシーで複雑なパスワードでないと受け付けないようにすればいい。
問題は外部のサービスなのだが、なかなか難しいねえ。
Re:自分のパスワードは絶対に漏れない! (スコア:1)
>自分のパスワードは、誰にも絶対に漏洩することはあり得ないと神に誓って言える人間だけが、パスワードの定期変更はクソ対応と言ってよろしいと思います。
その「誰にも」に「自分」が含まれてたらおもしろおかしい。
#二度とlogin不可
Re:自分のパスワードは絶対に漏れない! (スコア:1)
なぜ?
パスワードが漏れる可能性があるとしても、定期変更はメリットが薄いと徳丸氏は主張しています。例えば「パスワードを定期的に変更する理由は何ですか?」 [atmarkit.co.jp]など。
Re:自分のパスワードは絶対に漏れない! (スコア:1)
というあなたの認識が間違いです。
徳丸氏はそのメリットを認識しています。
パスワードを定期的に変更する理由は何ですか? [atmarkit.co.jp]
認識したうえで、メリットよりデメリットの方が大きいとお考えなわけです。
もちろん「メリットとデメリットのどちらが大きいか」は議論の対象となってしかるべきですが、徳丸氏が利点を見落としているということではありません。
Re: (スコア:0)
その場合、定期的である必要はあるの?非定期でもいいんじゃないの。
Re: (スコア:0)
私も流出が確認されてから流失したサイトのものだけ変えるのがベストだと思います
もちろん複数のサイトでIDとパスを同一のものにしないという大前提で
Re:自分のパスワードは絶対に漏れない! (スコア:1)
(a)そもそもサービス提供元がパスワード流出に気がつかない
(b)気がついてもなかなか公表しない
(c)公表されても自分がそれに気がつかない
いずれもありそうな話なのではないかと。
ということで、定期的にパスワードを変更することには意味はあると思う。
たくさんあるパスワードを変更して回るのに負荷があるのも事実なので、それを何とかして軽減する方策を考える必要があるんだろうねぇ。
自分はたくさんあるパスワードはパスワード管理ソフトで管理しています。が、変更して回るのはしんどいなぁ。
定期的なパスワード変更は、被害を小さく抑えるため (スコア:1)
確かにパスワード盗まれてしまえば被害を防げないので、定期的なパスワード変更はパスワードを盗まれるのを予防はできないよね。けどまー、クラックされた後に被害を受ける期間を短縮するためには役立つので、クラックされた後の被害を小さくするためにパスワードを変更しましょう、っていうことで意味はあるというのが言いたかったんだけれど…
パスワードを盗まれないようにするのが当然基本なわけなので、大前提として"クラックされないようなシステム"と、"クラックされないようなパスワード"の両方が必要ってのは間違いないよね。
その上で利用者として行える対策は、自分のパスワードを"クラックされないようなパスワード"にすることでパスワードを盗まれないようにして、定期的にパスワードを変更することで(システムがクラックされる事による)パスワード漏洩による被害を小さくする、という事なんじゃないかしら。
だけど、沢山あるパスワードを定期的に変更しようとすると面倒臭いので、なんとか楽にする方法が欲しいなぁ、と。
コンピュータに興味のない人達は慣れるまではなかなか理解しにくいだろうけど、例えばSSHみたいな公開鍵方式だったら、やればやれるだろうし、安全にもなるんじゃないだろうか。
Webサービスとかを利用するのに公開鍵ファイルを指定してパスフレーズを入力するのか…面倒だな。puttyのpagent(みたいなもの)を使えば楽になるけれど、利用者に環境を構築させて、ファイルを保持させる時点で駄目だな…利用者が理解できないでトラブルになりそうだ。
こういう方式のサービスを見かけないのはきっとトラブるからなんだろうね。
Re:自分のパスワードは絶対に漏れない! (スコア:1)
この総務省の資料はサービス提供者向けなんだよ?
それをわかってて言ってる?
十分な強度じゃないと変更を許さないルールにしても (スコア:0)
初めての有効期限日で"123456"が登録できなくて発狂するおじいちゃんとか
変更後パスワード問合せが常態となり結局ソーシャルハックされる総務部とかありそう
よし、いいことを思いついた (スコア:0)
じゃあパスワードを全てのサイトで統一すればいいんだよ、そうすれば頻繁に換えてもその都度覚えるのは一つだか頻繁に変更してもそう負担にならんだろう。
みんなリスクの観点が違う (スコア:0)
これは漏洩させる事業者のリスクに限っての話だ。
何故なら多くのユーザが
「安易なパスワード」「長期間利用」「他サービスと共通」
というパスワード運用をしているから。
初めから安易なパスワードを使っている最底辺のユーザは
定期変更させることで「僅かながら」も、リスクを軽減させられるかも、という話。
複雑なパスワードを使っていたら、長期変更する必要はないと思う。
だから、パスワードの複雑度によって変更間隔を変えてやればいいのだと思う。
定期変更の要求を面倒に思うことで複雑なパスワードを使いはじめるだろう。
Re:最強のパスワードマネージャ (スコア:1)
しかし、かあちゃんには敵わなかった
Re:パスワード変更は有効だと思う (スコア:1)
ではもう一つ、日本語で。
パスワードの定期変更という“不自然なルール” [atmarkit.co.jp]
辻伸弘さんといえば、CowardではないAnonymousとコンタクトを取ってみたりしていることでも知られている方ですね。
Jubilee
Re:システム管理者に幻想もつなよ (スコア:1)
そんな彼らに「パスワード定期的に変えるのはダサい」と吹きこむと、意味を考えずにそのまま受け入れてしまう。
代わりに「個別化は正義」「長さは勝利」「辞書にある単語は敵」とでも吹き込んでおけばよいのではないでしょうか。
ていうか、CISOがちゃんとしてれば下っ端の「システム管理者」が自力で判断する必要はないでしょう。
まあ今回の件は政府のCISO周辺がちゃんとしてるかどうか心配になるような話ではありますが。
Jubilee