パスワードを忘れた? アカウント作成
11291081 story
セキュリティ

次善の策として「パスワードの使い回し」を容認するというアイデア 60

ストーリー by hylom
臨機応変に 部門より
あるAnonymous Coward 曰く、

使用する「パスワードはすべて異なるものにする」というのはセキュリティの常識だが、パスワードの設定が必要となるシーンが増えてくると、サイトごとのパスワードを全て覚えておくのも非常に面倒だ。そこでこれへの対策として、次善の策として「たとえ破られたとしても損失の少ないアカウント」に対してはパスワードの使い回しを許容するという案がMicrosoftとカナダのカールトン大学の研究者らによって提案されている(ITmedia)。

さらに、パスワード管理ソフトの使用やクラウドを使ったデータの保存についても、そのソフトやクラウドのマスターパスワードが推測されたり漏洩した場合の損害が大きいことから、注意するように警告を出している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by miyuri (33181) on 2014年07月17日 22時02分 (#2641220) 日記

    たとえ破られたとしても損失の少ないアカウントのグループでは、弱いパスワードの使い回しも容認する必要があるとしている。

    弱いパスワードである必要は無い。
    使いまわすなら、強いパスワードでも覚えていられるから。

    • by Anonymous Coward

      たとえば使いまわしパスワード+何らかの別に用いているパスワードをゲットされてしまっても
      一方に弱いパスワードを使っていれば攻撃側に「ボクの考えた強いパスワード」の傾向を掴まれてしまう危険性が減る。
      弱いパスワードを使うのはサービス自体へのセキュリティの期待が低いのも有るだろうし
      別に用いているパスワード側を弱くする必然性は無いし
       
      まったくの別人を演じきる自信があるのならば話は違うかもしれませんが

  • by Anonymous Coward on 2014年07月17日 20時34分 (#2641176)
    このアイディアは既出です。
    /.j でもパスワードが話題になるとこの考え方が出てきています。
    重要なサイトのパスワードは厳格に、どうでもいいサイトのパスワードはどうなってもいい感じで。
    ただ、これもここで指摘されていたのですけど、どうでもいいサイトが重要なサイトに格上げされることがままあります。
    • by Anonymous Coward

      自分もそんな感じ。
      アカウント登録する時はいつも 捨てEmailアドレス と 捨てパスワード で登録。
      その後、使ってみて良かったら 本物アドレス と パスワード管理ソフトのランダム文字列 に変更、って感じ。

      独自ドメインメールのフェッチオールでアドレスは作り放題だから、サービスの重要性によってメールアドレスも変えてる。

      なので、登録しようと思って入力すると「すでに登録されてます」って言われることがよくある。あぁ俺登録してたんだ、ってそのとき気づく。
      で、捨てセットでログインできる。

  • by sumeshi0206 (12305) on 2014年07月17日 22時31分 (#2641241) 日記

    全く無駄な研究(?)とは言わないけどさぁ
    MSはこんな事やってるより、しょーもないもん作ってゴリ押しするより
    こういう事に役立つ物作ってゴリ押し普及させるべき。

    • by Anonymous Coward

      二度言うほど大事なことには思えませんね。

      # 「こんな事より~」に続く外野の提案はどうしていつも

      • by Anonymous Coward

        xxすれば良いだけ
        って書き捨てる奴らも

  • by Anonymous Coward on 2014年07月17日 18時43分 (#2641097)

    この論文らしきナニカに、いったいどんな価値があるのでしょうか。
    概要を読む限り、益体のない話にしか見えないのですが……

  • by Anonymous Coward on 2014年07月17日 18時47分 (#2641098)

    元記事を読む限り

    そこで研究チームは、弱いパスワードの使用や使い回しを排除する戦略は「次善の策」と位置付け、ユーザーができることには限界があるという前提の下、アカウントのグループによっては使い回しを容認することを提案した。

    つまり、使い回しを容認する方が大事という主張だと読めたが。
    正反対に解釈していませんか?>タレコミ主

    • 「次善の策」って言葉の意味からすれば、元記事の方が日本語として意味がわからない。

      (面倒を強いられる)弱いパスワードの使用や使い回しを排除する戦略に対する「次善の策」として

      あたりが妥当じゃないかなー

      --
      うじゃうじゃ
      親コメント
      • by cyceo (37981) on 2014年07月17日 20時29分 (#2641171)

        元の論文 [microsoft.com]の結論部分をみた感じだと、そうじゃないらしい。

        漏洩がもたらす損失と、ユーザーの負担を最小化することが目的なので、
        「(面倒を強いられる)弱いパスワードの使用や使い回しを排除する」
        のはユーザーの負担が大きすぎるので最善ではない、という主張の模様。

        じゃあ、最善の策は?っていうと、一定期間のうちに漏洩する可能性Pと、漏洩した際の被害Lを
        それぞれ数値化して、Pの総和とLの総和の積が同じくらいになるグループ単位で管理すると良い、らしい。
        Pが全て同じくらいなら、Lに比例するので、個々のLが大きい時は小さなグループ、個々のLが小さな時は大きなグループになる。

        # 内容が全然違う可能性があるので気になる人は論文を読んでください。

        親コメント
  • by Anonymous Coward on 2014年07月17日 19時24分 (#2641122)

    これでメールアドレスをパスワードにしようとすると「それは使えません」とか言ってくるサイトが無くなるといいね。
    課金も住所も関係ないのにやたら無駄に厳重にするアホなサイトが多すぎ。

    • by Anonymous Coward

      しかも3ヶ月に1回強制的にパスワード変更させられる上に過去3回分記録されてる。
      とかウザすぎる。

  • by Anonymous Coward on 2014年07月17日 20時15分 (#2641161)

    1年に一度しか見ないようなメンバーサイトとか、なんでもかんでも登録させて、全部違うパスワードを覚えておけということが超人的能力だと自覚できない人間が多すぎ。

    • by Anonymous Coward on 2014年07月17日 20時26分 (#2641168)

      1年に一度しか見ないメンバーサイトのパスワードなんて、
      必要になったらそのたびにパスワードをリセットすれば十分なんだから、ランダムなパスワードにしてそのまま忘れちゃえばいいじゃん
      そんなサイトのためにパスワードを使いまわすなんてダメ絶対

      親コメント
    • by Anonymous Coward

      よそはともかく、うちはすごく便利で有用なサイトなので、1年に一度しか見ないなんてことにはならない。
      だから、ちゃんとしたパスワードをつけてくれ。

      と、全てのサイトが言ってるのでは。

    • by Anonymous Coward

      1年に一度しか見ないようなメンバーサイトは不要なんじゃ
      サイトの存在忘れてしまう方がいいだろう

    • by Anonymous Coward

      なんで脳で記憶しようとするんだ…と思うが、
      パスワード個別管理をしたことがない人は、いざログインしようと思った時に、
      マネージャが手元に無い状況への恐怖感とかあるのかもなあ。

      慣れればホント何でもない事だよ。
      そりゃまあ手間は掛からないよりは掛かるし、タレこみに書かれている懸念も当然意識すべきではあるけど。

      パスワード漏えいが発覚した時に、影響範囲のサイト全部思い出して、無害性を確認できる?

    • by Anonymous Coward

      自分はサイトやサービス名などからそこのパスワードを決定するパスワードルールを決めてます。
      そうすれば、だいたいサイト毎に異なることになりますし、覚えるのはそのルール一つでいいので、
      苦労してパスワード文字列をたくさん覚えたりパスワードマネージャ使うとかより、シンプルで安心
      だと思います。

      • by Anonymous Coward

        なんかいろいろコメントついてるけど面倒なんで個別には対応できないけど

        通常はこの手を使っている。でも、たまに通してくれないサイトがあるんだよね。大文字が必要とか特殊文字が必要とか言って。

        ここで話題にしてるのは主に仕事関係の評価版ダウンロードとかそういったことのために登録を要求される場合で、
        携帯持ち込み禁止とかが前提。
        リセットすればいいという人もいるが、リセット簡単にできるサイトは危険。多くの有名人がそれでアカウント盗まれてる。
        訪問頻度が低くて気が付きにくいならなおさら。

        自分的には、サイト自前で管理するのはやめてID連携にしてほしい。

  • by Anonymous Coward on 2014年07月17日 20時50分 (#2641184)

    電子化された情報はいずれ漏洩すると思えば、それを頼らないのが最善と思うのだが。
    ただし私はもう手遅れだ。

  • by Anonymous Coward on 2014年07月17日 22時12分 (#2641227)

    USBメモリサイズのワンタイムトークン生成&表示器みたいな大きさで、

    ・一生忘れないだろうスーパーキーをまず登録

    ・各パスワードの登録名を登録

    ・スーパーキーと各パスワードの登録名から自動で個別パスワードを生成して記憶

    ・あとは、トークン上のボタン操作で各パスワードの登録名を選ぶと、
     対応するパスワードが表示される

    っていうシンプルなパスワード生成+閲覧ガジェットがあればなぁ、とは思います。

    • by ogino (1668) on 2014年07月17日 23時46分 (#2641279) 日記
      • ファイルに埋め込んだランダムな文字列
      • 自分で入力するマスターパスワード
      • 各パスワードの登録名(普通はドメイン名)

      を連結してハッシュ関数に通して文字種毎のパスワードに変換、という HTML with JavaScript 製パスワードジェネレータを作って PC やスマフォに入れています。

      通信しない、結果をストレージに保存しないというところに安心感を感じています。

      ファイルが漏洩しなければ安全ですし、ファイルが漏洩してもマスターパスワードが漏洩しなければ多分大丈夫です。JavaScript の演算結果はキャッシュに残ったりしない、という前提ですが。

      親コメント
    • by Anonymous Coward
      キングジムのミルパスとかどうでしょう?

      http://www.kingjim.co.jp/sp/pw10/
      • by Anonymous Coward
        MIRUPASS、少し大きめですが良いですよ。
        PCや携帯通信端末のソフトと違ってネット越しに生データ抜かれる心配もないし。
        持ってすぐの頃にはよく家に置き忘れていましたが最近は携帯電話同様「持ってるかな?」と確認するようになり置き忘れはかなり減りました。
    • by Anonymous Coward

      それならスーパーキーよりも指紋を使った方が便利に見えますけど、
      やっぱり突破されちゃいますかね?

  • by Anonymous Coward on 2014年07月17日 22時15分 (#2641232)

    一般の人は「どうでもいいサイト」か「重要なサイト」かの判断つかないと思うんだ

    • by Anonymous Coward

      直接には金が絡むか否か
      用心するなら名前・住所・電話番号などを登録しているか否か
      といった所ですか

    • by Anonymous Coward

      区別がつかないような人はどうでもいいサイトにしか登録してないと思うよ。

      月に数百円しか換金しないポイントサイトと預け入れ資産の数倍の信用取引できる証券会社
      どっちが重要かわかるだろ。

      • by Anonymous Coward

        >月に数百円しか換金しないポイントサイトと預け入れ資産の数倍の信用取引できる証券会社

        いや、一般の人はそんなの関係なく同じもの登録しちゃうもんなんだよ。
        携帯電話の契約で4桁の数字の暗証番号を登録させられるけど、たぶん多くの人が銀行と同じはず。

        • by Anonymous Coward

          携帯電話の暗証番号、あんまり馬鹿にしないほうがいいかも。

          こないだ、docomoの販売店で電話番号とその4ケタだけで
          契約の変更ができた。
          携帯電話本体やSIMも持ってなかったし、名前や住所も聞かれてない。
          ってか、名前や住所は向こうが出してきた紙に書いてあった。

          数百万、数千万置いてある銀行口座とはもちろん別にすべきだけど、
          このスレの話からすると、月の小遣い程度しか入ってないような口座とだったら
          一緒でもいいかもしれない。
          つーか、それ以前に貯金用の口座にキャッシュカードなんて作らないよね、
          その辺ちゃんと意識してる人なら。

  • by sumeshi0206 (12305) on 2014年07月17日 22時36分 (#2641247) 日記

    全く無駄な研究とは言わないけどさぁ
    MSはしょーもないソフトとかOSとか箱とか猿マネ&ゴリ押しするより
    パスワードのようなものに役立つ物作ってゴリ押し普及させるべきだよ。

  • by Anonymous Coward on 2014年07月18日 0時04分 (#2641289)

    一時メールアドレスでアカウント取得する。
    もちろん情報もダミーで

  • by Anonymous Coward on 2014年07月18日 0時44分 (#2641297)

    自分はそれに加えてメルアド用のパスワードとどうでも良いサイト用のパスワードとメルアドを用意して、
    金絡んでくるようなとこに登録するメルアドとパスワード(数個つくってできるだけ使いまわさないように)とは分離してる。

    パスワードは大体小説中の普通の辞書に間違いなく載っていない用語を検索結果が出ないように軽くひねった(英語+英語日本語読み的な)もので生成して記憶してる。

  • by Anonymous Coward on 2014年07月18日 1時36分 (#2641314)

    ああ、hotmailとかskydriveのことですね!

  • by Anonymous Coward on 2014年07月18日 5時56分 (#2641330)

    ユーザの損失は少なくても
    不正ログインに対応しなきゃいけない運営側は大変だね。

  • by Anonymous Coward on 2014年07月18日 8時54分 (#2641371)

    本題からはそれるが、パスワードマネージャーを使おうとすると障害になるパスワードのコピペを禁止しているサイト
    あれは一体何がしたいのか?
    強度を下げて使い回しをさせないと不都合でもあるのだろうか?

    #例えば使い回しされやすいパスワードを横流しして収益を得ているとか

    • 決まっているじゃないですか。コピペによるパスワードの使いまわしを防いでるんですよ。

      # 根拠も無く陰謀論めいたことを言う神経がわからない。

      --
      svn-init() {
        svnadmin create .svnrepo
        svn checkout file://$PWD/.svnrepo .
      }
      親コメント
    • by Anonymous Coward
      パスワードのコピペを禁止するスタイルシートなりスクリプトなりをバカ正直に解釈する糞ブラウザ使う情弱を釣ってるんじゃないの?
  • by Anonymous Coward on 2014年07月18日 10時00分 (#2641397)

    パスワードを使いまわすことを許容するくらいなら、紙に書いておいてお財布に入れておく方が良い。

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...