IPAがパスワードの使い回しに対し警告 47
ストーリー by hylom
成功率の差は何が原因か 部門より
成功率の差は何が原因か 部門より
漏洩したID/パスワードリストを使って他サイトへの不正ログインを試みる「パスワードリスト攻撃」と見られる不正アクセスが最近頻発しているが、情報処理推進機構(IPA)はこれを受け、「パスワードの使い回し」をやめるよう呼びかけを行っている。
これによると、昨年8月より、公表されているものだけでも月1件以上のペースでパスワードリスト攻撃の被害が発生しているという。また、被害企業における「不正ログインの成立率」も掲載されているが、その成立率が9.98%と高い例もあったようだ。
ID を使いまわさないよう事業者に呼びかけるべき (スコア:5, 参考になる)
以前、ランダムなID(変更不可)を割り当てれば解決 [srad.jp] でも書きましたが、リスト型の攻撃はサービス提供者がランダムで変更不可なユーザーIDを割り当てて認証に用いれば完全に防ぐことができるのです。
ちなみに、Yahoo! Japan ID のような公開IDを認証に使うのも望ましくありません。そのため、Yahoo! Japan は 認証用のIDを Yahoo! Japan ID とは別にするサービス [yahoo.co.jp]を提供しています。
昔は、サービス提供者がユーザーIDを割り当てる方式が主流でしたが、最近になってメールアドレスをIDとするWebサービスが増えてきたのが、リスト型の攻撃が増えた本当の原因です。
サービス提供者が割り当てたランダムで変更不可なユーザーIDは、利用者にとって暗記しにくいという問題点もありますが、利用登録時にメールや郵送などで受け渡して、紛失しないように手帳・ノートなどに書き留めれることを要求すれば良いだけです。ID はブラウザに Cookie で記録するような設計にすれば、毎回入力するというユーザーの手間も省けます。ID がしっかりといった強度を保っていれば、ユーザーがパスワードを使いまわしたとしても、問題は生じません。
専門家の高木浩光さんも、次のように述べています [twitter.com]。
Re:ID を使いまわさないよう事業者に呼びかけるべき (スコア:1)
> サービス提供者が割り当てたランダムで変更不可なユーザーIDは、利用者にとって暗記しにくいという問題点もありますが、利用登録時にメールや郵送などで受け渡して、紛失しないように手帳・ノートなどに書き留めれることを要求すれば良いだけです。
それってもしかしたらランダムに生成したパスワードをメモに書いておくのと似たようなもん?
ランダムじゃないけど割り当てられたユーザ名でloginするのはパソ通では普通だったっけ。
>ID はブラウザに Cookie で記録するような設計にすれば、毎回入力するというユーザーの手間も省けます。I
そうしておくと、ユーザ/パスワードを盗む手間も割と省けるんじゃなかったっけ。
#javascriptを使ってCookieを盗み取るデモとかどこかで見た気がする。
Re: (スコア:0)
それってもしかしたらランダムに生成したパスワードをメモに書いておくのと似たようなもん?
そんなもんですね。ただ、IDはIDであってパスワードではない、と言う点には留意したいものです。パスワードはパスワードでランダム生成してメモなりなんなりに保存しましょう。
#javascriptを使ってCookieを盗み取るデモとかどこかで見た気がする。
そういう穴もあるかもしれません。でも、それはそれとして穴を塞ぐことを考えましょう。IDとパスワードをどのようにしたところで、穴が開けばどうしようもないのはどうしようもない事ですから。
Re: (スコア:0)
>#javascriptを使ってCookieを盗み取るデモとかどこかで見た気がする。
クロスサイトスクリプティング関係のデモだった気がします。
Re: (スコア:0)
ブラウザーに記録するのはまずいかと
トラブルシューティングでクッキーなどの情報を消す必要があるので
Re:ID を使いまわさないよう事業者に呼びかけるべき (スコア:2)
そういったケースのために、「利用登録時にメールや郵送などで受け渡して、紛失しないように手帳・ノートなどに書き留めれることを要求」しておきます。
最近は、Gmail のような大容量・SPAMフィルター付きのWebメールが主流なので、多くのユーザーは、IDなどの重要な情報が書かれたメールを削除したり、メールアドレスを頻繁に変更したりしません。従って、書き留めたユーザーIDを紛失したとしても、受信メールから検索をかければ見つかるケースが多いと思います。
Re: (スコア:0)
たまにランダムな英数字でIDを出すサービスがありますけど、間違いなく、そのサービスのIDは覚えません。
パスワードもそうですが、IDやパスワードを忘れた時に使われる手段が、「秘密の質問」や「登録メールアドレスへのリマインダ送信」です。
秘密の質問が、ソーシャルハックによってパスワードよりも脆弱であることはAppleのiCloudがやられた件ではっきりしました。
登録メールアドレスにWebmailのようなものを使っている場合、そのWebmailが破られると複数のサービスへのアクセスがごっそり取られるという問題もあります。
「パスワードを使いまわすな」ということも、それが原
Re:ID を使いまわさないよう事業者に呼びかけるべき (スコア:1)
秘密の質問といいつつ、質問がリストから選ぶ形式なので、事実上の共通パスワードになってます。
どのサイトでも「母親の旧姓」「出身の小学校」「初めて飼ったペット」とかですもん。
これじゃあ「公開の質問」だと思う次第。しかも本人のこと知ってれば答えがわかってしまう。
質問から入力させてくれよ、って思うのです。
#「好きな電車」とかいう質問はもっとあっていいと思うの
Re: (スコア:0)
> 「hogehoge_a」「hogehoge_b」というように、簡単なものにされるでしょう。
リスト型攻撃への対策であれば、それでも十分だとは思いますけどね。
願わくば、hogehogeの部分を十分に複雑にしてくれればというぐらいで。
Re: (スコア:0)
十分ではないけど、マシな程度ですね。
hogehogeが複雑でも簡単でも関係なく、むしろ_aと_bの部分が複雑じゃないとダメです。
パスワードリストの中に、
hogehoge_a
hogehoge_b
なんてあったら、漏れていない他のパスワードを予想するのも簡単で、かえって危ない。
となると、結局、「共通パスワード」+「複雑なパスワード」にするしかなく、そうすると「複雑なパスワード」なだけでもいいじゃないかという。
Re: (スコア:0)
呼びかけがあっても、使いまわしの自由はあるし使い回さない責任もないが、
リスト型攻撃からの自衛として有効な手段であるというのもまた事実。
Re: (スコア:0)
おいおい、いつから ID を使い回さないのが利用者の責任になったんだ?利用者には ID を使い回す自由があると昔から言っているだろうが。
Re: (スコア:0)
以前のコメントでも指摘されてるけどこれな
「ID」だというのなら、利用者がそれを紙に書いてデスクトップに貼ったり、他のユーザーに伝えることも許容しろよ?「ID」なんだから当然問題ないよな?
Re: (スコア:0)
単純な個人狙いのパスハックの強度を著しく下げる/ユーザーへの負担を増やす(複雑なIDと複雑なパス)のどっちかしかない道なんだよなー。
Re: (スコア:0)
問題ないよ
ただしパスワードは他人には絶対教えてはいけないので、そんなことする意味がありません
Re: (スコア:0)
Re: (スコア:0)
idをランダムに振るようなことができるのは登録に個人を識別しうる情報を要求して、id紛失をリカバリできるサイトだけだな。
銀行とかクレジットなんかはすでにそういう方向性になっている。
そういう情報を預かっていない、預けたくないサイトは多くの場合idとは別にニックネームとかペルソナとかいう公開名を登録する
ことになってるよね。
ランダムなidなんて面倒なだけだ。
Re: (スコア:0)
> 昔は、サービス提供者がユーザーIDを割り当てる方式が主流でしたが、
> 最近になってメールアドレスをIDとするWebサービスが増えてきたのが、
> リスト型の攻撃が増えた本当の原因です。
これはどうかな?
Re: (スコア:0)
IDを教えても構わないのにパス4桁で使いまわしてもいいって…単純な個人狙いのパスハックに対する強度を著しく落としているのに。
完全にサービス提供側のことしか見てないな。
当人にとっては身近な悪意を持った誰かにパスを抜かれる方が、見知らぬ誰かに抜かれるよりよっぽど痛いのに。
で、 (スコア:3, すばらしい洞察)
現在、パスワードが必要なサービスを利用する分だけ個別にパスワードを設定して、さらにサービスによっては定期的にそれらの変更が必要で、さらに過去N回分のパスワードは利用できないとなると、一人でどんだけのパスワードを管理しないといけないことになるやらで。
紙(手帳)に書くか、パスワード管理アプリに記録するか色々あると思うけど、もしそれが漏れたらすべてを失うことになりそうという不安もあり。
もしそれらが本当に盛れたら、大急ぎですべてのサービスに対してパスワードを変更する必要もあるわけで。
とか考えると、パスワード管理に費やす工数がものすごく必要になりそうな未来。
ということで、そこの管理に対する新たなビジネスを創出するのが本当の狙いということですね。
・楽々パスワード管理術
・できるパスワード管理
・パスワード管理入門
とかいう本も売れそう。
もうユーザ(e-mailアドレス)/パスワードでの単純login辞めたらいいのに。
#二段階認証はめんどくさいけどとりあえず安心して使ってる。
Re:で、 (スコア:1)
二段階認証すらダルいんで
ログインしようとすると手元のandroid端末に「xxにログインしようとしています、よろしいですか」ってボタンが出てOK押したらログイン成功ってレベルに単純化して欲しい
んでいくつもアプリ入れるのダルいからgoolge製でandroidにネイティブで搭載して欲しい
Re: (スコア:0)
Twitterがそうやってる。
Re:で、 (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:で、 (スコア:1)
>なんか、サンプル画面に書いてあるパスワードをみんな使いそうですね。
オラクルだと scott/tiger だっけ。
そんなこと言ってたら (スコア:2)
親戚のおじさんのPCに貼ってある付箋紙がどんどん増えるじゃないか
Re:そんなこと言ってたら (スコア:1)
とある公共機関の事務所に行ったときは、「○○課長のIDとこのパスワードでloginしてください」という紙が貼られた共通端末PCらしいのが置いてあっった。
Re:そんなこと言ってたら (スコア:1)
木の葉を隠すなら森の中
どうでもいいサイトだから使い回してんだよ (スコア:1)
覚えきれねえからメールアドレスと同じにしてんのに
「メールアドレスと同じパスワードは使えません」とか言ってくるサイトなんなの?
お前んとこ別に課金とか関係ないじゃん漏れても構わねえから雑にしてんのに何その強固なセキュリティ。
「必ず大文字小文字を混ぜて下さい」「必ず数字を入れて下さい」「数字は使えません」だのサイトによってポリシー違いすぎるからこっちは「あれ?このサイトではどのパスワードだっけ?」となってめんどくさくなって使わなくなるんだよ
お節介はやめてくんねーかな。雑なパスワード使っクラックされたらユーザーが悪い、でいいじゃん。
過保護にしないでよ。
Re:どうでもいいサイトだから使い回してんだよ (スコア:2, 興味深い)
と,大御所高木氏も申しております.
>おいおい、いつからパスワードを使い回さないのが利用者の責任になったんだ? 利用者にはパスワードを使い回す自由があると昔から言っているだろうが。
Re:どうでもいいサイトだから使い回してんだよ (スコア:1)
使いまわされたパスワードをアタックに使う自由もあると昔から言われてることもあるある
Re: (スコア:0)
使いまわされたパスワードをアタックに使う自由もあると昔から言われてることもあるある
そのとおり。パスワードの使いまわしには危険があるが、人間には愚かな行為であっても自らの責任によって実行するという「愚行権」があります。
Re: (スコア:0)
しかし致命的な情報に紐付されていないサイトなら愚行の方が圧倒的に効率的ってのが有るから、それが悪いとは思えない。
マズイのはその状況を致命的情報と紐付されているサイトでもやっちゃう奴だな。
そうなんだけどね (スコア:1)
金絡むとこのほうが数字しか使えないとか、記号使えないとかしょぼいの強制されるんですよね。。
Re: (スコア:0)
日本語とか使えれば機械的にはかなり強いと思うんだけどなぁ
Re:そうなんだけどね (スコア:2, 興味深い)
それやると、IMEが学習しちゃうんですよね。その先が、中国だったら目も当てられない・・・。
Re: (スコア:0)
オリックス銀行のログインIDが口座番号で通販でもなんでも他人に口座番号教えるのあきらめた。
定期満期になったら全額引きあげる。
Re: (スコア:0)
渡しが使っているメガバンクはワンタイムパスワードとか結構厳重なオプションもあるんだが。勿論無料。
他ってそうでもないの?
Re: (スコア:0)
銀行はそれなりにあると思いますが、クレカは対応してないような?
Re: (スコア:0)
そうやってるユーザーがいっぱいいて、サービス側の非ではなく、リスト攻撃などで漏洩した場合でも、文句言う人が多いからだと思う。
ユーザー側のパスワード管理の不手際のせいで漏れても、とりあえず謝罪とかしないといけないからなぁ企業は。
かわいそうに。
とりあえず、仕事となんの関係もないのに社員が犯罪犯したら会社が謝罪する、なんていうアホな謝罪文化のある日本では、リスクはできるだけ排除しないとね!
ユーザーのセキュリティのためじゃない。企業がユーザーに文句言われないためにやってるんだ!
Googleアカウントでログインとかあるしー (スコア:1)
ログイン認証の丸投げを利用してると、何をどうしようが、1個突破された時点で終わりなんですが…
キャッシュカードの4桁番号は守られる (スコア:0)
パスワードの安全性なんて堂々巡りなんだから
キャッシュカードの番号みたいにいつ漏洩しても保証してくれる体制づくりのほうが急務なんじゃないですかね
あとRSAではない物理的なワンタイムパスワードの普及
Re:キャッシュカードの4桁番号は守られる (スコア:1)
>あとRSAではない物理的なワンタイムパスワードの普及
RSAもワンタイムパスワードのハードウェアトークン出してますよ(SecurIDというブランド名)
Re: (スコア:0)
で、RSAが安全だと?
Re:キャッシュカードの4桁番号は守られる (スコア:1)
OTPの仕組みなんてだいたいどこでも同じなのに、ことさらにRSA社を忌避する理由があるのでしょうか?
サイト毎に (スコア:0)
サイト名 + 固定文字列、というパスワードを使っていますがどの程度効果があるのやら。
サイト名の部分を変えれば他サイトのパスワードも推測可能ですが、もうこれ以上複雑なパスワードを使う気にはなれません。
パスワードに関わることなんでAC。
Re: (スコア:0)
時代遅れの考え方に引きずられているからそうなるのです。(昔は正しかった)
個人向けのサービスならパスワードを入力して安全な機器って自分のスマートフォンと
自宅のPCしかないのだから、公式の専用アプリに覚えさるか、ブラウザに覚えさせる。
パスワードを毎回入力することが間違い。
専門家っていうレベルじゃねぇぞ (スコア:0)
パスワードの使いまわしは
どこでも開けられる万能の鍵を相手に預けたのと同じ事。
ユーザー認証の為のパスワード設定のはずが
全然意味の違うとんでもない事をやらかしてしまってるんだよ。
なるべく避けよう、どころか絶対やってはいけない。
それでもユーザーに責任はない
パスワードの使いまわしが問題ないと言い張るのなら
銀行の暗証番号を使いまわせよ高木先生。