米セキュリティ指針で「パスワードの定期変更」「秘密の質問」が否定される 43
ストーリー by hylom
最初に言い出したのは誰だ 部門より
最初に言い出したのは誰だ 部門より
あるAnonymous Coward 曰く、
NIST(米国国立標準技術研究所)の傘下部門であるCSD(Computer Security Division)は先週末、米国の政府機関がセキュリティ対策を実施する際の指針となるSpecial Publicationのドラフト版を公開したが、その中で「パスワードの定期変更」「秘密の質問」を明確に否定したことが注目を集めている(Special Publicationドラフト版、INTERNET Watch)。
この文書では、パスワードの定期変更を強いるとユーザーは「Password1」といった具体に末尾に数字を追加するなど意味のない対応を取ることが多いことから、システムはパスワードの定期的な変更をユーザーに要求すべきではないとしている。また合わせて秘密の質問も使用するべきではないとしているとのこと。
これらはいずれも以前から指摘されていた点ではあるが、政府機関が指針に記述したということで、現状はまだドラフト版ではあるものの、今後の認証システムの開発に大きな影響を与えることが予想される。
秘密の質問 (スコア:4, すばらしい洞察)
あれは本当に意味が分からない。
何のために存在するのか。
Re:秘密の質問 (スコア:1)
管理者が見てはぁはぁするため
Re: (スコア:0)
何の脈絡もなく母親の旧姓とか尋ねられるもんな
# 他人の母親の旧姓ではぁはぁする変態
Re:秘密の質問 (スコア:1)
パスワード忘れたって問い合わせを少しでも減らしたいヘルプデスクのためだろ。
彼らにしてみりゃ全体のセキュリティレベルなんてどうだっていいんだから。
Re:秘密の質問 (スコア:2)
私の秘密の質問は
好きな食べ物
で、その答えは
ygfFjAOUP2Dyk
です。
Re: (スコア:0)
つーか、そういう支離滅裂なコンビネーションを使うのが当たり前と思っていたが
Re:秘密の質問 (スコア:1)
パスワード忘れた時に秘密の質問を出されて正解したことがない。
Re: (スコア:0)
業界大手が俺達すげーと思い込んで、金融機関に売り込みかけて、担当者もセールストーク鵜呑みにした結果があれ。
Re: (スコア:0)
大手かどうかに関わらず、セキュリティを考えてる人が、大穴を空けることになると気付かないわけはない手法ですからね。
Re: (スコア:0)
エンジニアには正常系しか理解できないセキュリティを考えられないタイプがいる
右クリックを禁止したり脆弱性指摘を握り潰したり数百万人ブロックしたり
Re: (スコア:0)
担当者の頭の出来が関係してるのか。
そういや、セキュリティに関して一番攻めの姿勢(と個人的に思ってる)東京三菱UFJは秘密の質問を採用しなかったはず。
ゆうちょなんかは遅れて秘密の質問を導入するお粗末さだったし。
Re: (スコア:0)
しかも母校や家族の名前みたいな全然秘密じゃない質問とか、好きな映画みたいな曖昧な質問から選択するしかない糞ばかり
せめて質問内容も自由に入力させろよ
時代の変化 (スコア:1)
昔のパスワードシステムやアクセス監視運用の時は多少意味があったかもしれないが、
#いや秘密の質問はセキュリティじゃなくトラブル対策だろ間違いなく
アクセス・ログイン履歴が簡単に見れるのが当たり前になった、2段認証の登場等で全面的に意味がなくなり、
むしろ管理対象の増加とかで元々あったデメリットがどんどん重くなっているだけって感じだと思われ。
Re: (スコア:0)
サイト数と中身の変化もあるかもね。
むかーしは、サイトは1~数個で、しかもまあそれなりに重要な奴だけだったと思う。
今だと、たとえばSNSやTwitterやブログやLINEやスラドやニュースサイト×10とかで、
全体で何十ってサイトを利用し、しかもその多くが無償か大したことのないサービスだったりする。
一つのサイトで三ヶ月おきにパスワード変更くらいなら可能でも、
何十というサイトの全てで定期的な変更をするのは現実的じゃ無かろう。
各サイトごとに個別のパスワードを設定しているならなおさら。
アクセス監視や二段階認証など含め十分なセキュリティ対策が施されている場合に、
各サイトごとに異なるパスワードを設定して長期間変更しないのと、
全サイトで同じパスワードを設定して短期間で変更するのとだと、
たぶん前者の方が優れていると思う。
Re: (スコア:0)
2要素認証の方が訳としてふさわしいと思うけど
スラドでも2段階認証の方が優勢な点に愕然とする。
いいね (スコア:0)
この流れを広めるんだ
定期変更 (スコア:0)
意味のない対応をするから要求するべきではないって結論はなぁ…
Re:定期変更 (スコア:2, すばらしい洞察)
現実には危険な対応をとりがちで、リスクを減らすどころかリスクを高めてるのが現実だから、止めろって話。
(勧告の内容は「止めたほうがいい」ではなく「止めろ」だからね。)
Re:定期変更 (スコア:1)
会社のドメコンポリシーが「パスワード12世代履歴管理」で最低13パターン必要なんだけど
自分の知る限り、周りはみんな末尾に連番つけてベースは同じ文字列使ってるだけですね
縛りが緩かった昔は定期変更+同一パスワード無効だけでしたけど、それでも無限に
incrementする連番をつけて同じ文字列の人とかいたな
xxxxx1 -> xxxxx2 -> xxxxx3 -> ...
#そりゃそうなる
Re: (スコア:0)
アルファベットだけのパスワードを許可していたシステムで、数字も入ってないといけないように変更指示をすると、アルファベットの最後に数字を追加するユーザーが多いらしい。
Re: (スコア:0)
定期変更や秘密の質問もだけれど
アルファベットと数字を混在させなきゃNGとか
連続する文字3つ以上はNGとか
IDに含まれる文字列はNGとか
6文字以上、8文字以上、12文字以下・・など文字数制限強制とか
システムによって違うローカルルールもどんだけ意味があるのか
Re: (スコア:0)
2年ぐらい前まで動いていた、某保険屋の加入者向けサービスと仲介業者向けサービスは、アルファベット4文字固定+数字4文字固定だった。
Re: (スコア:0)
なるほど。連番禁止にポリシーを変更しておくか。
Re:定期変更 (スコア:1)
Password!
Password?
Password#
Password*
Password_
Re: (スコア:0)
それでも結局、!だったのか、?、#、*、_のどれだったのか分からなくなる。しかもパスワードの変更時に直前3回と同じパスワードの使い回し不可とかシステムに怒られて涙目。
Re: (スコア:0)
早く帰りたいなら、今すぐパスワード再設定問い合わせ画面と再設定自動処理を用意するんだ!
Re: (スコア:0)
>パスワードの定期変更では「Password1」といった具合に末尾に数字を追加するなど、その規則性が容易に推測できることなどから、システムはパスワードの定期的な変更をユーザーに要求すべきではないというもの。
この文面だけ読むと「末尾の数字だけの変更がNG」と解釈するアホが出てくるかもしれない。
Re: (スコア:0)
すいません、正にコレですw
某銀行のe-bankingで定期変更を強制されるので。
いちいち覚えてらんないっての!
Re: (スコア:0)
数百と管理するパスワードの定期変更とか不可能です
変更を強制されるシステムでも
実際のユーザは嫌気がさして強度が下がってたり……
Re: (スコア:0)
定期変更のメリットってなに?
Re:定期変更 (スコア:2)
>定期変更のメリットってなに?
運営サイドがセキュリティに気を配ってますよというポーズを示すため。
Re:定期変更 (スコア:3, すばらしい洞察)
運営サイドが定期変更を促す必要がある状況で可能性が高いのは、定期的に運営サイドからパスワードが漏れてる場合です。
セキュリティに気を配っているポーズどころか、パスワードがしょっちゅう漏れていることをアピールしています。
Re: (スコア:0)
これですよね。
Re: (スコア:0)
パスワードの定期的変更はパスワードリスト攻撃対策として有効か
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2014/10.html#20141017__... [ryukoku.ac.jp]
Re: (スコア:0)
規則の方をユーザが実施可能な形に合わせるべきで「定期変更に耐えられないユーザが悪い」では
規則の存在する目的である情報やアクセスの保護が達成されない
それでも規則の方を押し付けるなら書いた人間が不達成の責任を取るしかない
定期変更推進派が結果的に弱いパスワードから発生した損害を全部被ってくれるなら構わないけど
需要創出 (スコア:0)
>今後の認証システムの開発に大きな影響を与えることが予想される。
パスワード定期変更と秘密の質問をdisableする簡単なお仕事が増える予感!
Re:需要創出 (スコア:1)
この調子で、5年、10年先の雇用確保のための種を蒔こうぜ。
次は何にする??
Re: (スコア:0)
time_t の64bits化は簡単な仕事に含まれますか?
Re: (スコア:0)
次は何にする??
入力されたパスワードを全桁認識するように改修。
Vpassご利用上のご注意
ID・パスワードをお忘れの場合
https://www.smbc-card.com/mem/vps/goriyo/index.jsp [smbc-card.com]
Re: (スコア:0)
辞書・サービス名等の思いつきやすいパスワードの拒否も要件に含まれてるぞ。がんばれ。
Webサイトごとにパスワード変えろって言われたから (スコア:0)
共通の文字列の末尾にサイト名を追加したパスワード使ってるんだけど…。
そういう人多いんじゃない? どこが違うの?
うーん、別に積極的にパスワード変更を擁護するつもりはないけど、
なんか、これも含めて、いままで聞いた理由が全部いまいちなんだよなー。
なんでこんな弱い根拠で、ここまで断定的なの?っていう違和感がある。
パスワードとか (スコア:0)
いまだに"開けゴマ"から進歩しないんだから人類の知恵なんてないも同然だね
Re: (スコア:0)
いや待て、"開けゴマ"は音声認証だぞ。(しかも言葉だけの認証で事前学習が不要。発声した相手がアリババでも拒否しなかった)
#むしろまだ追いついていない