パスワードを忘れた? アカウント作成
10376998 story
セキュリティ

総務省が「パスワードを定期的に変更する」とのセキュリティ対策を推奨したことが議論に 128

ストーリー by hylom
何週目の話だ 部門より

総務省が12月18日に『リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)』という資料を公開した。流出したユーザーID/パスワードのリストを使って複数のサイトに対しログインを試みるというタイプの攻撃が最近増えていることから、これに対する対策方法を紹介するというものだが、ここで対策の1つに「パスワードの有効期間設定」が紹介されている点が議論になっている(セキュリティ研究者高木浩光氏のTweetセキュリティ研究者徳丸浩氏のTweetTogetterまとめ)。

パスワードの定期的変更がセキュリティの向上にどれだけ意味があるのかについては、たびたび徳丸浩氏がまとめている(パスワードの定期的変更に関する徳丸の意見まとめパスワードの定期的変更について徳丸さんに聞いてみた(1)パスワードの定期的変更について徳丸さんに聞いてみた(2))。

パスワードを定期的に変更することについては意味が無い訳では無いが、そのメリットよりもデメリットのほうが多い、というのが「パスワードの定期的変更は推奨されない」と主張する側の理由だ。最近では多数のオンラインアカウントを所持しているユーザーも多く、それを頻繁に変更することは負荷が高いという現状もある。

いっぽう、総務省の文書ではパスワードの定期的変更は、「流出したID・パスワードのリストの情報を古いものにして役立たなくさせる」とその有効性を述べている。

なお、総務省の文書では、パスワード管理の手間が省けるとしてパスワードマネージャの使用をすすめているが、パスワードマネージャを利用することの危険性(マスタパスワードの漏洩ですべてのアカウントにアクセスされてしまう、パスワードマネージャに不正なプログラムが組み込まれる可能性、クラウド型サービスの場合そのサービス自体に攻撃が行われる可能性)については何も紹介されていない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by JULY (38066) on 2013年12月20日 9時14分 (#2515221)

    パスワードを定期的に変更することについては意味が無い訳では無いが、そのメリットよりもデメリットのほうが多い、というのが「パスワードの定期的変更は推奨されない」と主張する側の理由だ。

    十分に複雑で長くて、サービスごとに違うパスワードを定期的に変更しない場合と、安易で短いパスワードを使いまわしているものを定期的に変更している場合とでは、後者の方がリスクが高い、ということじゃないかなぁ。きちんとしたパスワードを設定していて、その上で定期的に変更するなら、「それは非推奨だ」とは言われないかと。もっとも、両方を実践できる人がどの位いるか疑問だけど。

    • by Anonymous Coward on 2013年12月20日 10時33分 (#2515268)

      きちんとしたパスワードって、 「十分に複雑で長」いパスワードのことだよね。 複雑で長いパスワードを定期変更させるのってみんなが付箋使いはじめる条件じゃん。

      親コメント
    • by Anonymous Coward

      長いだけで、類推が可能な文字列を使う運用が始まるだけじゃないかな。
      slashdotjp1
      2slashdotjp
      slashdotjp3

      • 元コメさんの話でいう「充分長い」ってのは十数~数十文字のレベルで、
        たとえ類推可能な単語が使われていようとも、フレーズが長ければ結果としてブルートフォースや辞書攻撃への耐性が高くなる(可能性が高い)、という話でしょう。
        「vue#jnga32」よりも「Domo!HappyBirthdayJohnSmithSan!!」の方が強い、みたいな。
        (でも流行り言葉を登録する人が続出したりもするんでしょうから、シビアな用途にはワンタイムなんとかとか使うべきなんでしょうけど)

        親コメント
  • 酷い藁人形論法 (スコア:4, 参考になる)

    by Anonymous Coward on 2013年12月20日 9時30分 (#2515231)

    何でも反対すりゃいいってもんじゃないだろ反抗期か。
    「今使ってるサービスをやめて2段階認証等に対応した安全性の高い国内サービスのみ使用するように変更しろ(そうすればパスワードの定期変更をしないですむ)」
    とか無茶振りだろ。どんなユーザ層空想してるんだ
    バカじゃ無いのか

    総務省が出してる本文には
    ① ID・パスワードの使い回しをしないなどの注意喚起を行う
    ② パスワードを定期的に更新し、リストを陳腐化する
    ③ ID・パスワード以外の認証要素を追加する
    ④ ID・パスワードの保管を徹底し、リスト化を防ぐ
    ⑤ 一定期間利用の無いアカウントを廃止し、不正ログイン後の悪用を防ぐ
    ⑥ 推測が容易なパスワードの設定を受け付けない
    これだけ全部推奨されてて
    「パスワードが既に流出している又は近い将来流出する可能性がある場合において、パスワードの定期的な変更を行うことは、攻撃の予防だけでなく、このような被害の拡大防止にも一定の効果があります。 」
    「ただし、パスワードの有効期限を短くして利用者に頻繁に変更を求めすぎると、利用者が、他人に推測されやすい簡単なパスワードを設定する傾向に陥りやすく、窃取される危険性を高めることもあるので注意を要します。また、有効期間も一年、半年にするなど、事業者で管理している情報の価値に応じて設定することも一案です。」
    と事業者向けとしては十分な書き方されてるじゃねぇか。これで何が不満なんだよ。セキュリティ対策に回す金なんざあるわけない中小事業者様にもちゃんと配慮してるだろ。
    マスゴミじゃ有るまいし恣意的に抜き出した引用してなにがしたいんだか

    • by Anonymous Coward on 2013年12月20日 9時56分 (#2515246)

      全体的には割とよくかけている方だとは思うけど、不満があるとすれば「事業者側に定期変更を強いるシステムは(結論としては)有効です」となってしまっていることかな。

      (文書にも書いてあるものの)「パスワードを変えることに一定の効果はある」は事実でも「パスワードの定期変更を強いることはむしろマイナス」という点の方が大きい、というのがポイントなのかと。
      この文書を放置してしまうと、いろいろ書いてあるけど、結局総務省はやった方がいいと言ってるよね、と定期変更を強いるシステムが幅を利かせかねません。

      親コメント
    • Re:酷い藁人形論法 (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2013年12月20日 10時19分 (#2515259)

      セキュリティ対策に回す金なんざあるわけない中小事業者様にも

      だからそこだよ。それも含めて、サービス提供側、利用側双方ともセキュリティに回す色々な(時間やお金などの)意味でのリソースってのは有限なんですよ。
      だからある対策を推奨する事は他の対策の実施率を下げる行為だと認識すべきなんだよ。
      あれもこれもそれもすべてぜんぶ!っていうのは効果が薄いように、
      要点を絞って実効性の高い対策だけを推奨すべきなんだよ。

      親コメント
    • by Anonymous Coward

      ここはもうまとめサイトと変わらん
      何度指摘されても改善されんし編集の給料がよっぽど安いんじゃないか
      後はOSDNのお偉いさんにチクるしかなさそうだけど誰がやるの?

      • by Anonymous Coward

        まとまってすらいないんじゃないの?

  • by Anonymous Coward on 2013年12月20日 9時47分 (#2515243)

    前置き:ユーザー視点的対策の話です。

    定期的なパスワード変更よりも

    「ログイン後に”最近ログイン試行した履歴”をだしてくれた方が、セキュリティ強度は上がるんではないだろうか。」
    「前回ログイン履歴」を出してくれるところは結構、あるけれども「ログインの試行履歴」まで出してくれるところはあまり見ない。

    「前回ログイン履歴」では自分が
    ①前回いつログインしたか覚えてないとわからない。
    ②ログインができているという事は攻撃が成功している。 が①の問題で攻撃成功も判別しづらい

    という問題があると思うのです。

    で、「ログイン試行履歴」をだしてもらった場合どうなるかというと。

    ①短期間に多くのログイン試行の失敗が発見されれば(自分のIDが)攻撃を受けていると判別できる。
     人が本当に失敗する回数でなければ攻撃として判断して報告できる。
    (もちろん、あまりに頻繁な攻撃があればシステム管理者側がロックなりIP拒否なりの対策を打つことは
     前提として。)

    ②①の後のログインであれば「自分のIDに対して攻撃された事と成功している事を認識でき、
     それをトリガーにその場でパスワード変更できる」
     (もちろんこの時点までの情報は漏れているわけですが、管理側が攻撃を認識して連絡してくるより
     通常は早く認識・対処できるでしょう。 よく使っているサイトならばですが)

     逆に連続試行の後、ログインがなければ攻撃は失敗している事が判断できます。

    もちろん個人的思いつきなので、反論、意見を歓迎します。
    すでにそうなっているサイトなどの情報もお待ちしています。

    • by Anonymous Coward

      たしかヤフーでしたっけ。 直近利用サービス一覧を提供しているのは。
      あとは…パソ通で繋ぎにいった時とかサーバーにsshで入る時とかLast login:は表示されてましたよね。

      • by Anonymous Coward

        もと※です。
        Last login:
        ではダメなのです。 ヤフーも確かに前回ログイン表示されますね。
        でもそれではダメなのでは?。というのが元※の考えの元です。

        もと※の「ログイン試行履歴」は「ログインに失敗した時刻と回数」も一覧表示されるべきでは?

        というのが元※の趣旨であり、キモです。
        攻撃の1回目で成功すれば別ですが、その確率はかなり低い。

        つまりログイン失敗回数と間隔で
        「自分のIDが攻撃を受けている。受けていた。 
        および攻撃の失敗・成功をユーザー側でも判断可能にする」

        いうのが趣旨です。

        元※にも書いたように、「Last login:」や「仕様サービス履歴」では、
        「成功し

        • by Anonymous Coward

          もと※です。
          Last login:
          ではダメなのです。 ヤフーも確かに前回ログイン表示されますね。

          ご自身のIDと間違ったパスワードでログインを試みてからアクセスしてみてください。
          https://lh.login.yahoo.co.jp/ [yahoo.co.jp]
          ご希望の機能ではありませんか?

          • by Anonymous Coward

            やってみましたが、
            「ログインの失敗」については表示されませんでした。
            これだと攻撃と不正ログインの判別がつかないのでは?と思ったわけです。

            逆に問わせて下さい。
            「不正ログインがされていた場合、この内容からどのログインが自分のものでない不正ログインと判別しますか?」
            (アクセス元で大分絞れるとは思います。)

            #2515276についてもここで返信させて頂きますが、
            私は「攻撃自体が自分のIDだけである」なんていつ書きましたか?

            「サーバーへの攻撃の一部に自分のIDが含まれ、自分のIDも攻撃を受けている場合」
            の話だとわかりませんか?パスワードリストアタックやなにかの一部である場合です。

            もちろん外部からIDとパスワードリストを取得して不正ログインされた場合、
            ログインの失敗もないので、元※も適応できないわけですが。

            • by Anonymous Coward on 2013年12月20日 12時48分 (#2515352)

              ログインの失敗は、サービス開始当初は提供されていたんだけど途中から提供されない仕様に変わったんだよ。
              多分、日常茶飯事的にアタックが繰り返されているんだろう。

              #デグレードするような仕様変更を平気でするのはさすがヤフーと呆れざるを得ない

              親コメント
  • × 総務省が「パスワードを定期的に変更する」とのセキュリティ対策を推奨したことが議論に
    ○ 総務省が「サイト利用者に対してパスワードの定期的な変更を強制する」とのセキュリティ対策を推奨したことが議論に

  • by iwakuralain (33086) on 2013年12月20日 11時27分 (#2515299)

    生体認証推奨くらいまで言ってくれればよかったのに

  • by pongchang (31613) on 2013年12月20日 20時03分 (#2515630) 日記
    メアドが一定しないから、パスワードを替える前に、メールアドレスを変更しないといけない乞食ですがなにか(キリ
    http://my.opera.com/desktopteam/blog/important-announcement-about-your... [opera.com]
  • ここでのコメントの情報では、定期変更するしないでどちらが強固と言えるかを論理的・科学的にに証明する情報がありませんよね? また、パスワードは個々(多くの場合個人)のアカウントなりを保護するものですから、統計的にどっちが強固という状況であれば、全員に無理強いするのはおかしいのも確か。定期変更しない方が強固である個人にとっては迷惑千万。すべての事業者が半年おきに変更を強要していること自体が、攻撃側には有用な情報な訳です。リストを得るためにかける労力とそれ以外の労力を最適の方向に近づけられる訳ですから。 結局のところ、論理的・科学的に全ての個人が確実に強固に守られるということが言えないのに、総務省がどちらがいいというような優劣を感じさせるようなことをいうこと自体が、脆弱な方向に倒していることになります。 定期的に変えるという方法もあれば、きわめて難解なパスワードを設定させるという方法もあるし、知ってる単語を自分のルールで長文で並べるっていうのもあるし、いろいろ並べあげて、あとは各自のリスクだから自分で考えてね♪っていうのが正解かなと。
  • パスワードを変更するのは(システムの特性上)必然でしょ。
    変更しないことを推奨するよりは
    変更することを推奨したほうがマトモかと。

    • 定期的に変更される複雑なパスワードは難しいので,
      定期的に変更することを推奨すると逆に強度の低いパスワードを設定するユーザが増えるリスクがあるという問題があるかと思います.

      親コメント
    • by Anonymous Coward
      >パスワードは変更できることが前提のシステム
      定期的にパスワード変更しないとログインできなくなるシステムならわかるけどね。
      そうでなけければ、主張の根拠は何もない。
      • by Anonymous Coward

        #2515220とは別ACですが…。

        例えば家の鍵などの場合、扉などは(特殊なスキルがあれば?)誰でも開けられる可能性がある訳ですが、
        ・鍵は自分(および家族など)しか持っていない
        ・ほとんどの人は鍵が無ければ扉などを開けられない
        などの理由から、新しい鍵に変えると言うことをしなくても済んでいるんですよね?
        # 適度な強度のパスワードがあるなら、それはそれでまぁ、良いんじゃない? …と言う状態かな。

        しかし、その鍵について
        ・大家や前の借主が持っていた
        ・密かにマスターキーに相当するものが広まっている
        などが判明した場合や可能性がある場合や、さらに少し予防的に
        ・もしかし

  • by Anonymous Coward on 2013年12月20日 9時20分 (#2515223)

    自分のパスワードは、誰にも絶対に漏洩することはあり得ないと神に誓って言える人間だけが、パスワードの定期変更はクソ対応と言ってよろしいと思います。
    これは自分が管理しているシステム限らず、別の誰かが管理しているシステムを利用している場合も同様です。

    • 自分は安易なパスワードを使いまわさない。自分のユーザーも安易なパスワードを使いまわさないと断言出来る者だけが石を投げていい。

      ……お役所の人にそんなこと出来るんですかね(震え声

      #ドラクエ10でアカハック食らってからはパスワードの定期変更は糞だと理解した。

      親コメント
      • by Anonymous Coward on 2013年12月20日 21時24分 (#2515663)

        総務省のシステムは三ヶ月以内ごとにパスワードの変更を強要される。
        しかも過去3回と同じパスワードは不可となっている。
        それが当たり前と思っているんじゃないの?
        でも、IDは一人一個だろうし、複数のシステムで同じパスワードにしている人は多いかもね。

        でも役人は責任をとりたくない(とれない)から、この手の指針であっても審議会ひらいて専門家のお墨付きつけてからじゃないと出さないと思うんだがなあ。
        つまりこういう考え方の人が有識者に多いってことになる。
        役人が独断で出したのなら、それはそれでビックリだわ。

        親コメント
      • by Anonymous Coward

        内部で動かしているサービスなら ActiveDirectory で統合認証して、パスワードポリシーで複雑なパスワードでないと受け付けないようにすればいい。
        問題は外部のサービスなのだが、なかなか難しいねえ。

    • >自分のパスワードは、誰にも絶対に漏洩することはあり得ないと神に誓って言える人間だけが、パスワードの定期変更はクソ対応と言ってよろしいと思います。

      その「誰にも」に「自分」が含まれてたらおもしろおかしい。
      #二度とlogin不可

      親コメント
    • by Anonymous Coward on 2013年12月20日 10時15分 (#2515257)

      なぜ?
      パスワードが漏れる可能性があるとしても、定期変更はメリットが薄いと徳丸氏は主張しています。例えば「パスワードを定期的に変更する理由は何ですか?」 [atmarkit.co.jp]など。

      親コメント
    • by Anonymous Coward

      その場合、定期的である必要はあるの?非定期でもいいんじゃないの。

      • by Anonymous Coward

        私も流出が確認されてから流失したサイトのものだけ変えるのがベストだと思います
        もちろん複数のサイトでIDとパスを同一のものにしないという大前提で

        • パスワード流出が確認されてから、というのはちょっと見落としがあるんじゃないかな。

          (a)そもそもサービス提供元がパスワード流出に気がつかない
          (b)気がついてもなかなか公表しない
          (c)公表されても自分がそれに気がつかない

          いずれもありそうな話なのではないかと。
          ということで、定期的にパスワードを変更することには意味はあると思う。
          たくさんあるパスワードを変更して回るのに負荷があるのも事実なので、それを何とかして軽減する方策を考える必要があるんだろうねぇ。
          自分はたくさんあるパスワードはパスワード管理ソフトで管理しています。が、変更して回るのはしんどいなぁ。
          親コメント
  • 初めての有効期限日で"123456"が登録できなくて発狂するおじいちゃんとか
    変更後パスワード問合せが常態となり結局ソーシャルハックされる総務部とかありそう

  • by Anonymous Coward on 2013年12月20日 10時31分 (#2515267)
    ようするに多くのサイトに登録してるからそれらを頻繁に換えると管理するのが大変だって話だろ。
    じゃあパスワードを全てのサイトで統一すればいいんだよ、そうすれば頻繁に換えてもその都度覚えるのは一つだか頻繁に変更してもそう負担にならんだろう。
  • by Anonymous Coward on 2013年12月20日 11時07分 (#2515290)

    これは漏洩させる事業者のリスクに限っての話だ。
    何故なら多くのユーザが
    「安易なパスワード」「長期間利用」「他サービスと共通」
    というパスワード運用をしているから。

    初めから安易なパスワードを使っている最底辺のユーザは
    定期変更させることで「僅かながら」も、リスクを軽減させられるかも、という話。
    複雑なパスワードを使っていたら、長期変更する必要はないと思う。

    だから、パスワードの複雑度によって変更間隔を変えてやればいいのだと思う。
    定期変更の要求を面倒に思うことで複雑なパスワードを使いはじめるだろう。

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...