パスワードを忘れた? アカウント作成
11552910 story
セキュリティ

IPAのセキュリティ対策キャンペーンテーマから「ID・パスワードは定期的に変更する」が消える 75

ストーリー by hylom
パスワードの定期的変更の効果はいかほどか 部門より
あるAnonymous Coward 曰く、

IPA(情報処理推進機構)が、て「ID・パスワードのセキュリティ対策」をテーマとした広告企画コンペを行うようなのだが、「ID・パスワードのセキュリティ対策」の内容が話題になっている(公募要領PDF)。公募の内容は以下の様なもので、セキュリティを啓蒙する広告自体に異論は無いのだが、突っ込まれているのは「ID・パスワードは定期的に変更する」というところだ。

以下の対策事例いずれかを用いて「ID・パスワードのセキュリティ対策」をテーマにした広告展開を企画・実施し、対策実施への行動喚起を促す。(使用する対策事例は複数も可)
・「ID・パスワードは定期的に変更する」
・「サービスごとに異なるパスワードを設定する」
・「パスワードはわかりにくい文字列(8 文字以上、記号を含む)を設定する」

Twitter上ではこの「パスワードの定期的な変更」について議論になっていたが(twitterセキュリティネタまとめ)、ツッコミを受けてか9日には公募要領の内容が修正され、テーマから「ID・パスワードは定期的に変更する」 という個所は削除されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 解説記事 (スコア:5, 興味深い)

    by Anonymous Coward on 2014年09月10日 19時27分 (#2674378)

    徳丸氏のブログ記事で解説されていました。

    パスワード定期的変更の効能について徳丸さんに聞いてみた | 徳丸浩の日記
    http://blog.tokumaru.org/2014/09/blog-post.html [tokumaru.org]

    きちんと社内システムの話に言及されていて安心しました。
    世間では(スラドでも)公開されたWebシステムのみを前提とした話ばかりで、違和感があったので。

    それはそれとして、常に意味がある対策でもないのも確かなので、IPAのキャンペーン対象外にするのは妥当だと思います。

  • by Anonymous Coward on 2014年09月10日 18時38分 (#2674348)

    パスワード変更の是非に関してはライフハックのこの記事 [lifehacker.jp]がきれいにまとまってるんだが、要約すると
    1.パスワードの定期的な変更はユーザーのストレスになる。
    2.強制的なパスワード変更にストレスを感じたユーザーは強度の低い簡単なパスワードをいくつか使いまわしたがるようになる。
    3.挙句にモニタに付箋紙でパスワードを貼り付ける勇者登場。
    のほか、
    ●侵入から直ちに実害を及ぼす行為に移れるアカウント(オンラインバンキングなど)では定期的に変えても被害は出た後なのでムダ。
    ●コンピュータシステムのパスワードでは侵入後にバックドアを仕掛けられたらパスワード変えても裏口から入り放題。

    とはいえ、情報の漏洩などが目的で侵入後様子を見て有効な情報が流れてくるまでまってる潜伏型の場合は必ずしもムダじゃない。
    なので、脊髄反射的に「パスワード変更なんて意味無い」と騒ぐだけなのはただのバカ。

    と、いうことでよろしいでしょうか。

    • by Anonymous Coward on 2014年09月10日 19時07分 (#2674363)

      1.パスワードの定期的な変更はユーザーのストレスになる。
      2.強制的なパスワード変更にストレスを感じたユーザーは強度の低い簡単なパスワードをいくつか使いまわしたがるようになる。
      3.挙句にモニタに付箋紙でパスワードを貼り付ける勇者登場。

      前職の職場がまさにこの状況だった
      勇者が大勢居たわ

      親コメント
      • by Anonymous Coward on 2014年09月10日 20時31分 (#2674432)
        木を隠すなら森の中というか、定期的な変更してるんなら、その候補のパスワードが全部モニタに付箋紙で貼ってあっても問題ないんじゃないの?イマココって書いてさえいなければ。
        親コメント
      • by Anonymous Coward on 2014年09月10日 21時00分 (#2674448)

        モニターに貼り付けられたID・パスワードを確認しなければいけないってのがあるし、共用などではアリなんじゃないかと思えてしまう
        テキストファイルを平文でどこかに保存するものよりはマシなんじゃないかなぁと

        親コメント
        • by Anonymous Coward

          > 共用などではアリ
          さすがに、役割ごとの共用ユーザって今時、作らないのでは?
          共用ユーザ使われたら、誰が操作したのか追跡できないじゃない。

          • by Anonymous Coward

            今時少ないんじゃないか、とは思いますが、絶滅はしていないですね…。(善し悪しではなく現実として)
            社外サービスで、会社ごとにIDが振られて、複数人の社員が1つのIDを共用するとか。
            社内サービスで、共用ファイルサーバーで、部署単位のIDを共用するとか。

      • by Anonymous Coward

        ユーザーにパスワードを自由に決めさせるからそういう問題が起きる。
        機械的に決めてしまえばいい。
        そして、付箋に書かれる前にカードサイズの紙に印刷して配って財布に入れさせる。

    • by Anonymous Coward on 2014年09月10日 21時12分 (#2674456)

      とはいえ、情報の漏洩などが目的で侵入後様子を見て有効な情報が流れてくるまでまってる潜伏型の場合は必ずしもムダじゃない。

      これについてはパスワードの定期的変更が特定の観点で有効だとは言えるけれど、このケースを懸念する場合にはより適切な対策はあるわけで、結局「パスワードは定期的に変更しましょう」が推進できるような状況ではないと思うんだよね。

      何らかのタイミングで利用者のパスワードを攻撃者が手に入れて長期的(潜伏的)に不正ログインされているようなケースであれば、そのサービス(システム)がリスクベース認証のような形でも常時でもよいが、ログイン履歴を正規のアカウント所有者に通知できる仕組みがあればよく、それを確認して不正ログインの可能性があるとわかった時点でパスワード変更なりの対策をすればよいわけで、これであれば「定期的に」変更する必要はない。

      徳丸さんの記事などでも言われていると思うけど仮に定期的変更に何かしらの意味があったとするのであれば、本来はそれよりも適切な対策(前述の不正ログインを感知する仕組みなど)が用意されているべきで、「パスワードの定期的変更」をあたかも有効な施策のように公言するのはどうかというのが個人的な見解。

      きちんと検証もせず「パスワードは定期的に変更しましょう」なんて掲載しているウェブサイトは個人的には信用できない。
      そういうこと書くなら根拠なりどういう認識があるのかを書いて欲しいと思って今回のIPAに対しても9月3日の午後にメールで追及したんだが、俺の問い合わせがきっかけで内容を変更したのかは不明。

      親コメント
      • それってすでに侵入された後の気がしますが。
        定期的な変更なら侵入前のパスワード変更が可能な確率が高い。
        all or nothing じゃなくて、確率の問題ならやらなくても良い?

        --
        [Q][W][E][R][T][Y]
        親コメント
        • by Anonymous Coward

          何をおっしゃっているのですか?
          元のコメントで潜伏型と書かれているのはすでに侵入されているケースですよね。

          それと、どうしても可能な限り安全策を講じたいという考えにおいて、パスワードの定期的変更が多少なりとも意味を持つという主張をすることは可能ですが、「パスワードが漏洩している状況」で「パスワードを定期的に変更しましょう」などと悠長なことを言っているようでは安全もくそもないというのが定期的変更懐疑派のひとつの主張ではないのでしょうか。

          パスワードが漏洩(他人にばれている)状況を想定するのであれば、パスワードを付け直すよりも優先して講じるべき対策が山ほどあるでしょうに。

          • パスワードを攻撃者が手に入れた時点と、
            実際にログイン試行がある時点は別です。
            漏洩リストを元にした潜伏型が、実際にログインの成功を事前に確認する必要は無いと思いますが。

            --
            [Q][W][E][R][T][Y]
            親コメント
            • by Anonymous Coward

              それにしても、パスワード変更は、攻撃者がパスワードを手に入れてからログインするまでに
              ユーザーがパスワードを変更した場合のみ、意味がある防御策ということになります。

              防御力をあげるためには頻繁にパスワードを変更する必要がありますが、
              それでは、ユーザーの利便性や簡単なパスワードを設定されてしまう危険を考えた場合に、
              割に合わないという主張なのだと思います。

              • 条件を限定してよいなら、潜伏してる奴が「パスワードの変更」を横取りして新パスワードもゲットしてしまったり、
                それによりその人のパスワードの法則(例えば「イニシャル+変更日」みたいな)を捕まれて
                他のサービスも突破されちゃったりするリスクも!
                標的型ならあり得ない話ではないし…

                …若干考えすぎだな。
                (上のだけを考えたら「長い文なら短いランダムパスワードより強い」が必ずしも正しくないように見えちゃうし、ちゃんと確率や定量的なこと言わないといけない)

                親コメント
      • by Anonymous Coward

        システム側の視点に立てば,いくらでも対策する手段があるだろうけど,
        ユーザー視点で見れば,使いたいサービスがそのような対策がなされていない場合はどうすればよいの?

        異なるシステムでのID/PASSの使い回しは論外として,内部犯でID/PASSが漏れた場合など,
        定期的な変更を行っておけば変更した人の情報漏洩は防げる。
        いくら内部犯だって,そう度々データ抜き出しもしないでしょうし。

    • パスワードの定期変更の話を聞くたびに,
      『ハリー・ポッターとアズカバンの囚人』
      のネビルの話を思い出します

      寮に入るためのパスワードを定期変更してたら,ネビルという学生がパスワードのメモを落としてしまった,と言う話
      魔法界にはセキュリティスペシャリストが居ないんだなぁ,と感じた

      親コメント
    • by Anonymous Coward

      元々、UNIX系OSで、/etc/passwdは誰でも見放題、総当たり攻撃できるもんならやってみやがれ、だったのが、
      処理能力が向上してきて解析は捗るわ、でも最大の8文字より長いパスワードにはできないわで。

      「誰かがミスをしたらヤバい」ではなく、「何が何でも普通にヤバい」という状態にまで陥りつつあって
      出てきた苦肉の策が、「定期的に変更しよう」なんじゃないのかな。
      当時は、やらないと具体的に危なかったし、各自が管理するアカウント/パスワード数も1個か2個だったからできてたけど。

      「安全策」って、一度できてしまうと、もう良いよ、と言う話にはなかなかなりづらいので、
      そこまで差し迫って必要でも無くなった上に、実質的に不可能なぐらいに管理すべきパスワード数が増えてるのにそのままの文言で維持されてしまってる。

    • by Anonymous Coward
      > コンピュータシステムのパスワードでは・・・。
      ICカードは大丈夫なのでしょうか?
    • by Anonymous Coward

      >脊髄反射的に「パスワード変更なんて意味無い」と騒ぐだけなのはただのバカ。
      >と、いうことでよろしいでしょうか。

      つまり
      情報の漏洩などが目的で侵入後様子を見て有効な情報が流れてくるまでまってる潜伏型
      に該当しないようなシステムでも「パスワードの定期的変更をしろ」と言ってるようなところに対しては
      「パスワードの変更なんて意味無い」とバカにするのはアリ?

      • by Anonymous Coward

        そう言う前提を確認してからならありかもねー。でも脊髄反射という前提ワードがいつの間にか消えてますな。
        意表を突いてくる奴らの攻撃パターンを予言するのも大変そうだけどね。

        しかし定期的にかえさすと弱いパスワードを使うとかいうならパスワードの使い回しも同じ事がいえると思えるんだが。
        個人的にはグーグルのアプローチが一番良いかなぁ。今のところ。

        • by Anonymous Coward

          プライベートの場合だと使うようなアカウントって
          「情報の漏洩などが目的で侵入後様子を見て有効な情報が流れてくるまでまってる潜伏型」
          が意味あるようなのってほとんどなくね? メールアカウントぐらい?

  • by firewheel (31280) on 2014年09月11日 7時43分 (#2674591)

    ネット経由での不正対策を考えるならば、

    1、十分に長く複雑なパスワードを設定し、メモに取る。(メモは紙でも電子データでも可)
    2、そのメモを厳重に管理する。(例:金庫に入れる。暗号化してUSBメモリにいれ、肌身離さず管理)

    の方が、そうでないよりもずっと良くなりつつあると思う。

    「メモに取るな」と「定期的に変更しろ」を組み合わせると、
    「tanaka0,tanaka1,tanaka2,tanaka3...tanaka9,の次は最初に戻る」
    みたいな単純な変更ルールになっちゃったりして、パスワード変更の効果も下がってしまう。

  •  職場で、他組織からメールで照会文書が来るときメールにワードとかの文書ファイルを添付してパスワードでロックして、パスワードは同じアドレスに別メールで送るというのがよく来るんだけど、無意味だよね。
     パスワードって、どういう使い方するのか意味がわかってないよなぁ、と苦笑していたら、上手がいた。

     職場で全社的に使っている某アンチウィルス大手なんだけど、ライセンス更新契約をしたら「パスワード送付メール」、その後「IDとダウンロードアドレス通知メール」を同じアドレス宛てに続けて送ってきたよ。
     ユーザー登録した先に送ったという言い分があるにしても、そこって担当者個人宛のメールアドレスを登録させていたし、担当者なんて異動で変わるだろうに。
     まあ、担当者が異動したときに、速やかに登録情報を変えない方も悪いと思うけど、お金が絡んでいるんだから、せめて契約更新時、今の担当者などのメールを登録させ直すとか必要だと思うんだよね。
     まあ、セキュリティ対策を売り物にしている企業でも、こんな状態なんですね。

    /*
     ちなみに、私はそこは使ってません。今までいろいろ致命的なトラブルを起こしているメーカーなので。
     アンチウィルスはノートンかエフ・セキュアが安心できる。
    */

  • by Anonymous Coward on 2014年09月10日 18時25分 (#2674338)

    IDを定期的に変えるのは難しいのでは?

  • by Anonymous Coward on 2014年09月10日 19時17分 (#2674370)

    ・セキュリティ強者向け:ワンタイムパスワード
     毎回面倒だけど安全度は高い

    ・セキュリティ愚者向け:ワンタイプパスワード
     106キー中1タイピングでOK!(一発KO喰らうおまけつき)

    • by Anonymous Coward

      鎖は一番弱いところから切れるんです…

  • 「IDはサービス毎に重複しないように設定しましょう」ぐらいの方が、延焼を食い止められていいんじゃないかな?

  • 定期的なパスワードの変更ってパスワードが漏れていることにユーザーが気づかないケースくらいにしか効果がない。無意味ではないがそこまで効果のあるものでもない。そして、それらのケースでは他に対策の手段がある。

    沢山のパスワードを管理しなければいけなくなってエンドユーザーが負担を仕入れた結果、強度の低いパスワードを使い回し、ブルートフォースアタックやリスト型攻撃に対して弱くなってしまうなんてことも起こりうる。
    ユーザーにも負担だということは、その分トラブルも増えると言うことでもあるわけで、例えば「パスワードを忘れてしまった」という問い合わせがシステム管理者にしょっちゅう飛んできては対応工数をかっさらっていく、なんてことも大いにありうる話。

    そういったユーザーコスト的なところまで計算に入れると「割に合わない」というのは確かに否定出来ない。
    金科玉条にして守っていても、やり方が悪ければかえってトラブルを招くし、積極的に推奨出来ないのはまあ仕方がないんじゃないかなぁ。

  • by Anonymous Coward on 2014年09月10日 18時10分 (#2674329)

    侵入を試みているあいだにも刻々と変更されてゆくパスワードを、ものともしない凄腕、みたいなのが出てきてカッコよかったんですが。

    • by Anonymous Coward

      OTPとかなら兎も角、固定値のパスワードを刻々と変更するのって、それパスワードとして既に機能してない状況じゃ……

      #というか刻々とパスワード変更するのって対処になるのか?

      • by Anonymous Coward

        ブルートフォースみたいなので攻撃されてたら、それから逃げる感じで、自動的にパスワードを変えまくってくれて、攻撃が終わったら元のパスワードに戻してくれる、というシステムだ!

  • by Anonymous Coward on 2014年09月10日 20時54分 (#2674444)

    不定期じゃないと変更のペース見破られます

  • by Anonymous Coward on 2014年09月10日 23時00分 (#2674509)
    まぁ、「対策事例」という事なので「パスワードを定期的に変更する」を削除するのはいいと思うけど、どうせなら「パスワードを定期的に変更することは必ずしも有効とは限らない」というような事を啓蒙してほしいよなぁ。

    なんか、パスワードは定期的に変更しなければいけないというのが独り歩きしてるようで、常時持ち歩いているノートPCの起動時のパスワード(いわゆるBIOSパスワードのようなもの)まで定期的に変えろと言われている。こんな事まで定期的にパスワードを変える事がどんな場合に有効になるのか理解できない。
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...