IPAのセキュリティ対策キャンペーンテーマから「ID・パスワードは定期的に変更する」が消える 75
ストーリー by hylom
パスワードの定期的変更の効果はいかほどか 部門より
パスワードの定期的変更の効果はいかほどか 部門より
あるAnonymous Coward 曰く、
IPA(情報処理推進機構)が、て「ID・パスワードのセキュリティ対策」をテーマとした広告企画コンペを行うようなのだが、「ID・パスワードのセキュリティ対策」の内容が話題になっている(公募要領PDF)。公募の内容は以下の様なもので、セキュリティを啓蒙する広告自体に異論は無いのだが、突っ込まれているのは「ID・パスワードは定期的に変更する」というところだ。
以下の対策事例いずれかを用いて「ID・パスワードのセキュリティ対策」をテーマにした広告展開を企画・実施し、対策実施への行動喚起を促す。(使用する対策事例は複数も可)
・「ID・パスワードは定期的に変更する」
・「サービスごとに異なるパスワードを設定する」
・「パスワードはわかりにくい文字列(8 文字以上、記号を含む)を設定する」Twitter上ではこの「パスワードの定期的な変更」について議論になっていたが(twitterセキュリティネタまとめ)、ツッコミを受けてか9日には公募要領の内容が修正され、テーマから「ID・パスワードは定期的に変更する」 という個所は削除されている。
解説記事 (スコア:5, 興味深い)
徳丸氏のブログ記事で解説されていました。
パスワード定期的変更の効能について徳丸さんに聞いてみた | 徳丸浩の日記
http://blog.tokumaru.org/2014/09/blog-post.html [tokumaru.org]
きちんと社内システムの話に言及されていて安心しました。
世間では(スラドでも)公開されたWebシステムのみを前提とした話ばかりで、違和感があったので。
それはそれとして、常に意味がある対策でもないのも確かなので、IPAのキャンペーン対象外にするのは妥当だと思います。
ちょっとメモ的なこととして (スコア:4, 興味深い)
パスワード変更の是非に関してはライフハックのこの記事 [lifehacker.jp]がきれいにまとまってるんだが、要約すると
1.パスワードの定期的な変更はユーザーのストレスになる。
2.強制的なパスワード変更にストレスを感じたユーザーは強度の低い簡単なパスワードをいくつか使いまわしたがるようになる。
3.挙句にモニタに付箋紙でパスワードを貼り付ける勇者登場。
のほか、
●侵入から直ちに実害を及ぼす行為に移れるアカウント(オンラインバンキングなど)では定期的に変えても被害は出た後なのでムダ。
●コンピュータシステムのパスワードでは侵入後にバックドアを仕掛けられたらパスワード変えても裏口から入り放題。
とはいえ、情報の漏洩などが目的で侵入後様子を見て有効な情報が流れてくるまでまってる潜伏型の場合は必ずしもムダじゃない。
なので、脊髄反射的に「パスワード変更なんて意味無い」と騒ぐだけなのはただのバカ。
と、いうことでよろしいでしょうか。
Re:ちょっとメモ的なこととして (スコア:3, 興味深い)
1.パスワードの定期的な変更はユーザーのストレスになる。
2.強制的なパスワード変更にストレスを感じたユーザーは強度の低い簡単なパスワードをいくつか使いまわしたがるようになる。
3.挙句にモニタに付箋紙でパスワードを貼り付ける勇者登場。
前職の職場がまさにこの状況だった
勇者が大勢居たわ
Re:ちょっとメモ的なこととして (スコア:3, おもしろおかしい)
Re:ちょっとメモ的なこととして (スコア:1)
おいおい、これは「おもしろかしい」だろう。すば洞付けてどーすんだw
Re: (スコア:0)
モニタにパスワードを書いた付箋が1兆枚くらい貼ってあれば問題ないね
Re:ちょっとメモ的なこととして (スコア:1)
モニターに貼り付けられたID・パスワードを確認しなければいけないってのがあるし、共用などではアリなんじゃないかと思えてしまう
テキストファイルを平文でどこかに保存するものよりはマシなんじゃないかなぁと
Re: (スコア:0)
> 共用などではアリ
さすがに、役割ごとの共用ユーザって今時、作らないのでは?
共用ユーザ使われたら、誰が操作したのか追跡できないじゃない。
Re: (スコア:0)
今時少ないんじゃないか、とは思いますが、絶滅はしていないですね…。(善し悪しではなく現実として)
社外サービスで、会社ごとにIDが振られて、複数人の社員が1つのIDを共用するとか。
社内サービスで、共用ファイルサーバーで、部署単位のIDを共用するとか。
Re: (スコア:0)
ユーザーにパスワードを自由に決めさせるからそういう問題が起きる。
機械的に決めてしまえばいい。
そして、付箋に書かれる前にカードサイズの紙に印刷して配って財布に入れさせる。
Re: (スコア:0)
すでに財布はカードで膨れ上がっていて、これ以上カードが入らない。
お札で膨れ上がるのは大歓迎。
Re:ちょっとメモ的なこととして (スコア:1)
たしか、お札に落書きするのは法に触れたんじゃなかったかな。
そういうわけで、お札での配布は無理。
Re:ちょっとメモ的なこととして (スコア:1)
じゃあQUOカードとかでいいんじゃないかな。
Re:ちょっとメモ的なこととして (スコア:1)
お札(おさつ)じゃなくて、お札(おふだ)で配布すれば?
#パスワードの神様とかいるのかな
Re:ちょっとメモ的なこととして (スコア:3, 興味深い)
とはいえ、情報の漏洩などが目的で侵入後様子を見て有効な情報が流れてくるまでまってる潜伏型の場合は必ずしもムダじゃない。
これについてはパスワードの定期的変更が特定の観点で有効だとは言えるけれど、このケースを懸念する場合にはより適切な対策はあるわけで、結局「パスワードは定期的に変更しましょう」が推進できるような状況ではないと思うんだよね。
何らかのタイミングで利用者のパスワードを攻撃者が手に入れて長期的(潜伏的)に不正ログインされているようなケースであれば、そのサービス(システム)がリスクベース認証のような形でも常時でもよいが、ログイン履歴を正規のアカウント所有者に通知できる仕組みがあればよく、それを確認して不正ログインの可能性があるとわかった時点でパスワード変更なりの対策をすればよいわけで、これであれば「定期的に」変更する必要はない。
徳丸さんの記事などでも言われていると思うけど仮に定期的変更に何かしらの意味があったとするのであれば、本来はそれよりも適切な対策(前述の不正ログインを感知する仕組みなど)が用意されているべきで、「パスワードの定期的変更」をあたかも有効な施策のように公言するのはどうかというのが個人的な見解。
きちんと検証もせず「パスワードは定期的に変更しましょう」なんて掲載しているウェブサイトは個人的には信用できない。
そういうこと書くなら根拠なりどういう認識があるのかを書いて欲しいと思って今回のIPAに対しても9月3日の午後にメールで追及したんだが、俺の問い合わせがきっかけで内容を変更したのかは不明。
Re:ちょっとメモ的なこととして (スコア:1)
それってすでに侵入された後の気がしますが。
定期的な変更なら侵入前のパスワード変更が可能な確率が高い。
all or nothing じゃなくて、確率の問題ならやらなくても良い?
[Q][W][E][R][T][Y]
Re: (スコア:0)
何をおっしゃっているのですか?
元のコメントで潜伏型と書かれているのはすでに侵入されているケースですよね。
それと、どうしても可能な限り安全策を講じたいという考えにおいて、パスワードの定期的変更が多少なりとも意味を持つという主張をすることは可能ですが、「パスワードが漏洩している状況」で「パスワードを定期的に変更しましょう」などと悠長なことを言っているようでは安全もくそもないというのが定期的変更懐疑派のひとつの主張ではないのでしょうか。
パスワードが漏洩(他人にばれている)状況を想定するのであれば、パスワードを付け直すよりも優先して講じるべき対策が山ほどあるでしょうに。
Re:ちょっとメモ的なこととして (スコア:1)
パスワードを攻撃者が手に入れた時点と、
実際にログイン試行がある時点は別です。
漏洩リストを元にした潜伏型が、実際にログインの成功を事前に確認する必要は無いと思いますが。
[Q][W][E][R][T][Y]
Re: (スコア:0)
それにしても、パスワード変更は、攻撃者がパスワードを手に入れてからログインするまでに
ユーザーがパスワードを変更した場合のみ、意味がある防御策ということになります。
防御力をあげるためには頻繁にパスワードを変更する必要がありますが、
それでは、ユーザーの利便性や簡単なパスワードを設定されてしまう危険を考えた場合に、
割に合わないという主張なのだと思います。
Re:ちょっとメモ的なこととして (スコア:1)
条件を限定してよいなら、潜伏してる奴が「パスワードの変更」を横取りして新パスワードもゲットしてしまったり、
それによりその人のパスワードの法則(例えば「イニシャル+変更日」みたいな)を捕まれて
他のサービスも突破されちゃったりするリスクも!
標的型ならあり得ない話ではないし…
…若干考えすぎだな。
(上のだけを考えたら「長い文なら短いランダムパスワードより強い」が必ずしも正しくないように見えちゃうし、ちゃんと確率や定量的なこと言わないといけない)
Re: (スコア:0)
システム側の視点に立てば,いくらでも対策する手段があるだろうけど,
ユーザー視点で見れば,使いたいサービスがそのような対策がなされていない場合はどうすればよいの?
異なるシステムでのID/PASSの使い回しは論外として,内部犯でID/PASSが漏れた場合など,
定期的な変更を行っておけば変更した人の情報漏洩は防げる。
いくら内部犯だって,そう度々データ抜き出しもしないでしょうし。
Re:ちょっとメモ的なこととして (スコア:2)
パスワードの定期変更の話を聞くたびに,
『ハリー・ポッターとアズカバンの囚人』
のネビルの話を思い出します
寮に入るためのパスワードを定期変更してたら,ネビルという学生がパスワードのメモを落としてしまった,と言う話
魔法界にはセキュリティスペシャリストが居ないんだなぁ,と感じた
Re: (スコア:0)
元々、UNIX系OSで、/etc/passwdは誰でも見放題、総当たり攻撃できるもんならやってみやがれ、だったのが、
処理能力が向上してきて解析は捗るわ、でも最大の8文字より長いパスワードにはできないわで。
「誰かがミスをしたらヤバい」ではなく、「何が何でも普通にヤバい」という状態にまで陥りつつあって
出てきた苦肉の策が、「定期的に変更しよう」なんじゃないのかな。
当時は、やらないと具体的に危なかったし、各自が管理するアカウント/パスワード数も1個か2個だったからできてたけど。
「安全策」って、一度できてしまうと、もう良いよ、と言う話にはなかなかなりづらいので、
そこまで差し迫って必要でも無くなった上に、実質的に不可能なぐらいに管理すべきパスワード数が増えてるのにそのままの文言で維持されてしまってる。
Re: (スコア:0)
ICカードは大丈夫なのでしょうか?
Re: (スコア:0)
>脊髄反射的に「パスワード変更なんて意味無い」と騒ぐだけなのはただのバカ。
>と、いうことでよろしいでしょうか。
つまり
情報の漏洩などが目的で侵入後様子を見て有効な情報が流れてくるまでまってる潜伏型
に該当しないようなシステムでも「パスワードの定期的変更をしろ」と言ってるようなところに対しては
「パスワードの変更なんて意味無い」とバカにするのはアリ?
Re: (スコア:0)
そう言う前提を確認してからならありかもねー。でも脊髄反射という前提ワードがいつの間にか消えてますな。
意表を突いてくる奴らの攻撃パターンを予言するのも大変そうだけどね。
しかし定期的にかえさすと弱いパスワードを使うとかいうならパスワードの使い回しも同じ事がいえると思えるんだが。
個人的にはグーグルのアプローチが一番良いかなぁ。今のところ。
Re: (スコア:0)
プライベートの場合だと使うようなアカウントって
「情報の漏洩などが目的で侵入後様子を見て有効な情報が流れてくるまでまってる潜伏型」
が意味あるようなのってほとんどなくね? メールアカウントぐらい?
パスワードはメモに取るべきか否か (スコア:3, 興味深い)
ネット経由での不正対策を考えるならば、
1、十分に長く複雑なパスワードを設定し、メモに取る。(メモは紙でも電子データでも可)
2、そのメモを厳重に管理する。(例:金庫に入れる。暗号化してUSBメモリにいれ、肌身離さず管理)
の方が、そうでないよりもずっと良くなりつつあると思う。
「メモに取るな」と「定期的に変更しろ」を組み合わせると、
「tanaka0,tanaka1,tanaka2,tanaka3...tanaka9,の次は最初に戻る」
みたいな単純な変更ルールになっちゃったりして、パスワード変更の効果も下がってしまう。
「パスワードは後ほどメールします」 (スコア:3, 興味深い)
職場で、他組織からメールで照会文書が来るときメールにワードとかの文書ファイルを添付してパスワードでロックして、パスワードは同じアドレスに別メールで送るというのがよく来るんだけど、無意味だよね。
パスワードって、どういう使い方するのか意味がわかってないよなぁ、と苦笑していたら、上手がいた。
職場で全社的に使っている某アンチウィルス大手なんだけど、ライセンス更新契約をしたら「パスワード送付メール」、その後「IDとダウンロードアドレス通知メール」を同じアドレス宛てに続けて送ってきたよ。
ユーザー登録した先に送ったという言い分があるにしても、そこって担当者個人宛のメールアドレスを登録させていたし、担当者なんて異動で変わるだろうに。
まあ、担当者が異動したときに、速やかに登録情報を変えない方も悪いと思うけど、お金が絡んでいるんだから、せめて契約更新時、今の担当者などのメールを登録させ直すとか必要だと思うんだよね。
まあ、セキュリティ対策を売り物にしている企業でも、こんな状態なんですね。
/*
ちなみに、私はそこは使ってません。今までいろいろ致命的なトラブルを起こしているメーカーなので。
アンチウィルスはノートンかエフ・セキュアが安心できる。
*/
本人確認の手順が必要 (スコア:1)
別メールでパスワードを送る場合、第一段階で暗号化した本文を送った後、受信者に電話などでメールが着いたか確認するステップが必要ですね。
「ついたら返信してね」では、本人確認ができないのでだめです。
また、本人確認できたらメールのアドレスはコピペするなり、アドレス帳から取り込むなりして、同一アドレスであることを確実にする必要がありますね。
ただ、本当に重要な内容であるなら、事前にパスワードをメール以外の手段で取り交わしておくなどの対策が必要です。
今回のセキュリティソフト・メーカーの場合、郵送で送るべきだと思います。
日本郵便の場合、宛先の確認はかなり慎重に行ってくれるので、今回の事案程度なら封書で十分な安全性が確保できると思います(簡易書留とか使えばベストでしょう)。
パスワードはともかく (スコア:1)
IDを定期的に変えるのは難しいのでは?
Re:パスワードはともかく (スコア:2)
役割を入れ替えてみてはどうだろうか。
Re:パスワードはともかく (スコア:1)
hylom1, hylom2, hylom3... という感じに変えていけばいいのかな?
それともhylom, hylomR, hylomS, hylomSS, hylomSSS, hylomCrystalのような感じ?
Re:パスワードはともかく (スコア:3, おもしろおかしい)
「hylomめ、とうとう名前まで間違えやがった」
Re:パスワードはともかく (スコア:1)
> hylom1, hylom2, hylom3... という感じに変えていけばいいのかな?
後年、Typoの妙を極めた編集者に贈られるhylom35賞が創設されたという…
-------- tear straight across --------
Re: (スコア:0)
これが最後のhylomとは思えない・・・・
Re: (スコア:0)
マイナスモデでカルマがごんごん削られていく人にそういうのが居ますね。
・・・いや、あなたが今思い浮かべた人以外にも色々居たんですよ/.
一人や二人ではありません
・・・・・・全部同一人物だったら怖いね
Re:パスワードはともかく (スコア:1)
本当は、ユーザ名(user id, user name 等) とログインIDは別にすべきですね。
メールアカウントの場合ならメールアドレスはログインIDとしては使用しない、等。
一部のISP等ではそのようになってたりしますが、少ないですね。
[Q][W][E][R][T][Y]
Re:パスワードはともかく (スコア:1)
それって、IDがパスワードみたいなもんじゃないですか。
Re: (スコア:0)
うむ。
コピペしてもこうはならないであろうという特異な誤りですね。誰が書いたのやら。
よし仕様を2通りにしよう (スコア:1)
・セキュリティ強者向け:ワンタイムパスワード
毎回面倒だけど安全度は高い
・セキュリティ愚者向け:ワンタイプパスワード
106キー中1タイピングでOK!(一発KO喰らうおまけつき)
Re: (スコア:0)
鎖は一番弱いところから切れるんです…
どうせヤラレルときはやられるんだから (スコア:1)
「IDはサービス毎に重複しないように設定しましょう」ぐらいの方が、延焼を食い止められていいんじゃないかな?
費用対効果の問題かな (スコア:1)
定期的なパスワードの変更ってパスワードが漏れていることにユーザーが気づかないケースくらいにしか効果がない。無意味ではないがそこまで効果のあるものでもない。そして、それらのケースでは他に対策の手段がある。
沢山のパスワードを管理しなければいけなくなってエンドユーザーが負担を仕入れた結果、強度の低いパスワードを使い回し、ブルートフォースアタックやリスト型攻撃に対して弱くなってしまうなんてことも起こりうる。
ユーザーにも負担だということは、その分トラブルも増えると言うことでもあるわけで、例えば「パスワードを忘れてしまった」という問い合わせがシステム管理者にしょっちゅう飛んできては対応工数をかっさらっていく、なんてことも大いにありうる話。
そういったユーザーコスト的なところまで計算に入れると「割に合わない」というのは確かに否定出来ない。
金科玉条にして守っていても、やり方が悪ければかえってトラブルを招くし、積極的に推奨出来ないのはまあ仕方がないんじゃないかなぁ。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
コミック版パトレイバーで、 (スコア:0)
侵入を試みているあいだにも刻々と変更されてゆくパスワードを、ものともしない凄腕、みたいなのが出てきてカッコよかったんですが。
Re: (スコア:0)
OTPとかなら兎も角、固定値のパスワードを刻々と変更するのって、それパスワードとして既に機能してない状況じゃ……
#というか刻々とパスワード変更するのって対処になるのか?
Re: (スコア:0)
ブルートフォースみたいなので攻撃されてたら、それから逃げる感じで、自動的にパスワードを変えまくってくれて、攻撃が終わったら元のパスワードに戻してくれる、というシステムだ!
定期的じゃダメ (スコア:0)
不定期じゃないと変更のペース見破られます
どうせならそれの啓蒙を (スコア:0)
なんか、パスワードは定期的に変更しなければいけないというのが独り歩きしてるようで、常時持ち歩いているノートPCの起動時のパスワード(いわゆるBIOSパスワードのようなもの)まで定期的に変えろと言われている。こんな事まで定期的にパスワードを変える事がどんな場合に有効になるのか理解できない。
Re: (スコア:0)
その前後の要件もまともに実装してもらいたいものだ