総務省、「パスワードの定期的な変更は不要」と方針変更 100
ストーリー by hylom
これが周知されるまで何年かかったのか 部門より
これが周知されるまで何年かかったのか 部門より
NOBAX曰く、
3月1日、総務省の「国民のための情報セキュリティサイト」の内容が変更され、「利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。」という内容となりました(日経新聞)。
パスワードの定期的な変更はかえって危険という事はいろいろな方面で言われており、例えば「パスワードは定期的に変更してはいけない」--米政府や実は危ない、パスワードの定期変更(日本経済新聞)などといった記事もあります。
Windowsや多くの金融機関のホームページなどでは定期的なパスワードの変更を要求してきますが、今後、どのような対応になるのでしょうか。
今の会社 (スコア:4, 興味深い)
思いつくだけで社内の8つのシステムで個別にID/passwd管理をしていて。
それぞれが1Q~半年に一回パスワードを変更しなければいけない,英大小数記号全部混ぜて8文字以上 & 過去のパスワード使用不可。
という利用者負荷の高い運用になってます。
他にも名前だけ知っていて自分が使ってないシステムも有るので、そっちも一緒だと思われ。
勤怠管理システム
教育システム
購買系システム
文書管理系システム
資産管理システム
健康管理システム
ActiveDirectory(Windows)
従業員共通認証システム(上記各システムとは別)
>パスワードの定期的な変更はかえって危険という事はいろいろな方面で言われており、例えば「パスワードは定期的に変更してはいけない」--米政府や実は危ない、パスワードの定期変更(日本経済新聞)などといった記事もあります。
という意見を誰が具申しても聞く耳持たずだけど、変わるかな。
やっぱり、変わらないか。
Re:今の会社 (スコア:2)
それだけ認証機会が多いと、偽のパスワード入力画面が紛れ込むリスクが高いと思う。
技術屋は気を付けられるかもしれないが、事務屋は気づかずに情報を抜かれるんじゃないだろうか。
Re:今の会社 (スコア:1)
シングルサインオンで運用しようよ…
しないんなら少なくとも
>ActiveDirectory(Windows)
これは廃止してシステム7つに減らせるよ…
Re:今の会社 (スコア:1)
>シングルサインオンで運用しようよ…
してほしいよね。
それぞれ管理元部所や運用請負先が違うので難しいらしい。
最初にADでPCを使う前提なので、可能であればこっちの認証に統合して欲しいけど、できないんすかねって、出来ないからやらないんだろうけど。
Re: (スコア:0)
AD あるのに、個別の認証システム用意するって、普通に考えれば、開発コストも運用コストも跳ね上がるわけで面倒なはずなんだけどね。
開発元が違ったって、開発も管理も手間は何も変わらんのだけど、なんでそんな事になっちゃったのだろうね。
Re: (スコア:0)
入れ子の組織構造をうまく運用できないのかもね。「AD管理者が末端まで把握しなければならなくなる。それ以外の権限分割を俺は理解できないのでだめだ」とか。
Re: (スコア:0)
AD廃止してどうやってログインするんだよwww
ADに統合するのが筋だろ
Re: (スコア:0)
そうですか。
Re: (スコア:0)
共通認証システムとはなんだったのか…。
Re:今の会社 (スコア:1)
>共通認証システムとはなんだったのか…。
その他の小さい有象無象システムで自前で認証管理していないところで使われています。
.htaccess みたいなもんなんすかね。(あまりよくわかってない)
こっちもパスワードを定期的に変更しないと登録やり直しになって、結局めんどくさくて使わない人が増えていってる。
だいたい小規模な手続用なので、使わなくてもなんとかなるのも悪いところ。
いっそ社内向けは全部これを使うという仕様にしちゃえばいいのに、何故かそうしない。
そもそも (スコア:3, すばらしい洞察)
利用頻度と変更頻度のバランス大事だと思う。
数ヶ月に一度しか使わないシステムのパスワード有効期限が3ヶ月って、結局毎回変更しろって言われるし。
バカらしい。
Re:そもそも (スコア:2)
そういうシステムはぜんぶ2段階認証にしちゃえばいいと思います
実際のところそうなってる(毎回メルアドやSMS認証経由でパスワード変更->ログイン)し、
だったら合間にパスワードでログインできる必要なんかないよね
Re:そもそも (スコア:1)
まだ少ないけど、パスワード不要で、ログインの際にメールアドレスだけ入力させて、
メール送って、本文のリンククリックでログインさせるサービスがチラホラ。
覚える必要もないしセキュリティ的にも悪くはないけど、手間と時間というコストがかかる。
短期間の再来なら自動ログインできるし、自分は嫌いじゃない。
Re:そもそも (スコア:1)
余裕の平文でしょう。
でも、最近は経路まで暗号化されてきてるから、盗聴される可能性はかなり低いはず。
メールサービス元には当然見られるが、メール管理されてる時点で他社アカウントはいくらでも盗めるよね、勝手に再発行すれば。
Re:そもそも (スコア:1)
でも、最近は経路まで暗号化されてきてるから、盗聴される可能性はかなり低いはず。
経路が暗号化されてないキャリアメールを推奨している銀行。
Gmail、暗号化されていない経路で受信したメールに警告を表示へ
https://security.srad.jp/story/15/11/17/043203/ [security.srad.jp]
メールアドレス|ゆうちょダイレクト
https://www.jp-bank.japanpost.jp/direct/pc/mailadd/dr_pc_ml_apply.html [japanpost.jp]
今や適切なセキュリティ対策の障害でしかない風習だしな (スコア:3, 参考になる)
「定期的にパスワードを変えることで、万が一破られても永続的にデータを盗まれ続けることは無い」って言う馬鹿には
「ログインチェックと通知等速やかに異常を感知しすぐに遮断等対策できるシステム構築するのが圧倒的に正しい」
って言える世の中になってるってのもあるよね。
いにしえの不正アクセスと言えばデータの盗み見・コピー自体が主ってイメージがあったが、今や不正アクセスされた時点でバックドア仕込まれて漏れ放題、パスワード変更など無意味だという意識が必要だし。
必要はないっていうとしなくなる? (スコア:2)
定期的に変更するべきじゃない場合と
定期的に変更する必要がある場合とがあるので必ずしなくなるとそれはそれで困るかも。
Re: (スコア:0)
十分な強さのパスワードなら、定期的な変更は不要なんですよ。
パスワードの定期的な変更を求められるシステムについては、「規則性のあるパスワード」を「付箋でモニタに貼っています。」
性分として、使いまわしはしていませんが、貼る人の気持ちを満喫しています。
Re:必要はないっていうとしなくなる? (スコア:1)
"十分な強さのパスワード"で"定期的に変更を求められる"システムとかあります。
態々セキュリティリスク増やして何がしたいんだ。
Re:必要はないっていうとしなくなる? (スコア:1)
元々セキュリティに問題があって頻繁に漏れてるから、ユーザに対応してもらうってことでは。
Re:必要はないっていうとしなくなる? (スコア:1)
「十分な強さのパスワード」なら「十分」なんだから定期的な変更は要らないんじゃないかな、自己定義的だけど。
「十分な強さのパスワード」を使えないので「定期的に変更すべき」システムはあるかもしれないが
Re: (スコア:0)
「十分な強さのパスワード」を使っているのに定期更新を求めてくる糞システムがあるって話ではないかな。
Re:必要はないっていうとしなくなる? (スコア:1)
「十分な強さのパスワード」ってスカウターがボンって破裂するくらい?
Re: (スコア:0)
自己定義的だけど。
事故定義的ですね。
Re:必要はないっていうとしなくなる? (スコア:1)
>パスワードの定期的な変更を求められるシステムについては、「規則性のあるパスワード」を「付箋でモニタに貼っています。」
Quota毎にパスワード変更をしなければいけない ∧ 前n回のパスワードと同じではいけない
∧ 英数記号を必ず含む。という縛りの場合。
YYYY(年)[干支]-q[1-4]
例)2018inu-1
#更にひねらないとバレやすそう
Re: (スコア:0)
十分な強さのパスワードなら、定期的な変更は不要なんですよ。
「定期的に変更するべきじゃない」が常識だってそれだけの知識でいると危険ですよ。
例えばパスワードを複数人で共有するようなシステムでは定期的に変更する必要があります。
Re: (スコア:0)
他にも、管理者している人間(グループ)が定期的に(入れ)変わるシステムで
管理者IDが固定のシステムとかだと、定期的にパスワードを変更しないと危険ですよね
sudo使わず運用しているLinuxとか、Administratorのみが管理者のWindowsとか
パスワード運用まで考えられていないアプライアンスとか
あとは、漏洩が疑われるサービスとか、脆弱であることがわかっているのに
使わなきゃいけないサービスとかかなぁ・・・
Re:必要はないっていうとしなくなる? (スコア:2, 興味深い)
まさか臨時で人が出入りした場合でも更新期日じゃないからという理由で旧パスワードを使い続けるわけじゃないんでしょ
あと、漏洩が疑われるのをパスワードの定期更新で対処しようとするならば、攻撃側の使用できるCPUなどのリソースは年々増加していくので、更新周期は逆に年々短くしていかなきゃならないわけですが、ちゃんとできてますか?
Re: (スコア:0)
Correct Horse Battery Staple 問題だな
定期変更はオフライン辞書攻撃対策だから辞書攻撃のリスクを論じないといくら短く設定しても無駄だとか
英数大小記号を混ぜた複雑なパスワードを使っても総当たりの実行時間は桁数乗に比例するから精々数桁増やした英字より弱くなるとか
理論を学んでいない素人セキュリティ管理者にありがちな無知があるな
Re: (スコア:0)
それは(本質的には不定期に発生する)パスワードを変えるべきイベントが定期的に起きているだけで、定期的にパスワードを変更しているのではないのでは
定期的にパスワードを変更するべきではないルールのなかに
それでも定期的にパスワードを変更するべきルールがあります。
定期的にパスワードを変更するべきではないといいはじめた途端に
定期的にパスワードを変更するべきではないばかり言う人がいるがそれは違うのです。
まさか臨時で人が出入りした場合でも更新期日じゃないからという理由で旧パスワードを使い続けるわけじゃないんでしょ
それは逆説です。
Re: (スコア:0)
パスワード認証をやめて証明書認証に変えよう
流出に即座に気づいて教えてくれればいいんだけどね。 (スコア:2)
実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。
強固なパスワードだからと余裕こいてたら、ユーザーのパスワードが流出しててサービス運営側が何年間も気づかずユーザーへの通知もなくクラックされ放題だったとかね。
Re:流出に即座に気づいて教えてくれればいいんだけどね。 (スコア:1)
いや、そうでもない。
盗まれた場合は即座に利用されるだろうが、流出だと使われるのはいつかはわからん。
運が良ければ助かることもあるだろう。
定期的な変更ってある意味運頼みな安全策。
運頼みな時点で安全策じゃないことに気付いてほしいところなのだけど。
コント (スコア:0)
校長先生「パスワードを変更する必要がなくなるまで3年かかりました」
まだまだこれからだ…
Re:コント (スコア:1)
実際、社内規定でパスワードを定期的に変更すると定めてあったり
ISMS規定に書いてあったりすると、改訂しなきゃいけません。
(ISMSはそういうものも含めて改善していく仕組みだけど.
パスワード作成をパターン化しなければよい (スコア:0)
毎回毎回独自の全くランダムな文字列にすればよい。
Re:パスワード作成をパターン化しなければよい (スコア:2)
利用するときにどうしますか?
全部おぼえているって大変じゃないですか?
Re: (スコア:0)
Re:パスワード作成をパターン化しなければよい (スコア:1)
そういうのはランダムとは言わない!って書こうかと思ったんですが、
「メルセンヌツイスタ/種=0x73726164('srad')/2018個目」みたいに、乱数アルゴリズムの種類と種と何個目かを覚えるのならいいのか。
#定期的なパスワード変更で何個目か順番に変えてくようにすれば覚えやすくていいよな、とか、でも単調増加させると予測可能になるから単調減少させたほうがいいよな、とか、つらつらと考えて「それってS/Keyのことかー」と思い至ってしまった。
Re: (スコア:0)
「よし、なら私は『Park & Miller [google.co.jp]/種=2147483647』の2018個目にしておこう。何個目かは忘れないように覚えておかないと……」
Re:パスワード作成をパターン化しなければよい (スコア:1)
>作成の時のパラメータとアルゴリズム覚えとけば大丈夫っしょ。
全くランダムな文字列を生成するアルゴリズム覚えておいて、全くランダムなパスワードと一致する確率ってどれくらいなんだろう。
Re:パスワード作成をパターン化しなければよい (スコア:1)
Re: (スコア:0)
元コメとは別の人だけれど、私はパスワード管理ツールで生成したパスワードをそのツールとログイン先にだけ憶えさせてる。
私自身はツールのマスターパスワードしか知らない。
Re:パスワード作成をパターン化しなければよい (スコア:1)
元コメとは別の人だけれど、私はパスワード管理ツールで生成したパスワードをそのツールとログイン先にだけ憶えさせてる。
私自身はツールのマスターパスワードしか知らない。
一部の銀行では、なぜかダメらしい。
ご利用のパソコンやスマートフォンなどにパスワードなどの重要な情報を保存しないでください。
https://www.aeonbank.co.jp/security/0620_01.html [aeonbank.co.jp]
Re:パスワード作成をパターン化しなければよい (スコア:1)
>ご利用のパソコンやスマートフォンなどにパスワードなどの重要な情報を保存しないでください。
ポストイット最強
Re: (スコア:0)
しないで下さいと実際にできるかどうかは全然違うと思うよ!!
Re: (スコア:0)
しないで下さいと実際にできるかどうかは全然違うと思うよ!!
やらないよう警告していることをやっていて不正送金などの被害にあった場合、
それが原因で不正送金されたのではないかという点でもめることがあります。
結果、補償割合に影響することがあります。
パスワード管理ツールを正しく使用した場合が、警告の範囲外と銀行が考えているかどうかわかりませんが。
ネットバンキングで不正送金の被害に遭った場合、補償してくれるの?
https://news.mynavi.jp/article/houritsumoney-14/ [mynavi.jp]
Re: (スコア:0)
銀行はうるさい割にセキュリティが弱いから仕方ない
Re: (スコア:0)
それなりの認証基盤がある組織なら、もうパスワードを覚えるやり方はやめるようにしよう。
パスワードはログイン都度発行してもいい。
Re:パスワード作成をパターン化しなければよい (スコア:1)
毎回毎回独自の全くランダムな文字列にすればよい。
一般的なセキュリティリテラシーの利用者に対してサービスを提供しているところ向けのアナウンスですね。
変更を求めると多くの利用者はパターン化した変更や、使いまわしをすることがわかっているので。