利用サービスで情報漏洩が発生しても、パスワードを変えるユーザーは3分の1程度 28
ストーリー by hylom
サービスを使ってないから放置、というユーザーも少なくなさそうだが 部門より
サービスを使ってないから放置、というユーザーも少なくなさそうだが 部門より
Anonymous Coward曰く、
カーネギーメロン大学CyLabセキュリティ&プライヴァシー研究所の研究者らによる調査で、サービスがサイバー攻撃を受けて個人情報が流出した場合、そのサービスの利用者でパスワードを変更するのは3分の1程度だということが分かった(ZDNet、Bank Info Security、Slashdot)。この調査はIEEE 2020 Workshop on Technology and Consumer Protectionで発表されたもので、実際のブラウザトラフィックを元に算出されたものだという。
研究に使用されたデータセットには、参加者249人のホームコンピュータから収集された情報が含まれている。データの収集期間は2017年1月から2018年12月までで、この期間中にYahoo、Disqus、MyFitnessPal、Deloitteなど影響を与えるデータ震害が発生している。収集されたデータには、Webトラフィックだけでなく、Webサイトへのログインに使用されているブラウザ内保存パスワードも含まれるという。
249人のユーザーのうち、収集期間中に利用しているサービスでデータの漏洩があったと判明したのは63人。その63人のユーザーのうち21人(33%)がパスワードの変更のため漏洩のあったサイトに再アクセスした。なお、データ漏洩の発表があってから3か月以内にパスワードを変更したのは15人のユーザーだけだった。 また、漏洩が発生したサービスと同じパスワードを使っているサービスは平均で30近くあったことも分かったとしている。
パスワードが漏れるっていっても・・・ (スコア:1)
ハッシュ化されたパスワードが漏れたのか、平文パスワードが漏れたかによっても違う
最近は20文字以上のランダムパスワード使ってるので、
ハッシュ化されたパスワードが漏れても悪用される確率がかなり低い
Re: (スコア:0)
「個人情報の流出」にパスワードが含まれているのか記事では曖昧だけど、
パスワード漏洩かましておいて再設定求めず運用するWebサービスなんてあるの?と思った。
まあ使い回してなきゃ次に使う時まで放っておいていいだろって感じだし、
使い回してたら使い回しパスワードを使ってる全サービスのパスワード全部変更、なんてわざわざやらないだろうな。
Re: (スコア:0)
パスワードを忘れるから、人々は弱いパスワードを使うわけであって。
むしろ「ブラウザのパスワード保管」と相性の悪いWebサイトを、どうにかしてくれないかな。
例えばIDを「〇〇」-「〇〇〇〇」と、二つのフォームに区切って入力させるサイトとか。
Re: (スコア:0)
さすがに2020年にもなってそのレベルの酷いサイトは保守もちゃんとされてるのか怪しいし使うのをやめた方が良いような
法人向けのWebアプリとか、あとは物理カードのIDがログインIDになってるサイトとかだと仕方ないとは思うけどね
Re:パスワードが漏れるっていっても・・・ (スコア:1)
Re: (スコア:0)
キャッシュカードや暗証カードの番号がIDになってるタイプはどうしようもないなw
ただ、作成したログインアカウントに口座を紐づけるような形にしてくれよとは思う
Re: (スコア:0)
ゆうちょ銀行は、IDが3つのフォームに区切られる素敵仕様ですわ
Re: (スコア:0)
某R銀行は最近になってIDとパスワードを別々入力させる方式に切り替わったという
Re: (スコア:0)
楽天銀行みたいに支店番号と口座番号合体させて入力しろ、というのもなんか面倒
重要度の問題 (スコア:1)
パスワード入力させる会員制サイトは多いけど、そのパスワードが重要度はぜんぜん違うんだよね。
正直漏洩したならしたで構わんって方が多いわけで。
銀行とかメールとかメインに使ってるSNSアカウントを破られたらシャレにならないので多要素認証にもするし漏洩すれば変えるけど、見る専用の絵サイトとかニュースサイトあたりは超簡単なものにするし漏洩しても正直どーでもいい。(その「どうでもいい」のが強固な認証を求めてきたらうざいので登録しないって選択になる)
漏洩しても問題にならない (スコア:0)
利用してないサービスのパスワードが漏洩しても問題にならない。
利用していても重要な情報を預けてないサービスは漏洩しても問題にならない。
そもそもパスワードの使い回しはしてないから漏洩しても問題にならない。
「情報漏洩したからパスワード変えましょう」は条件を満たしたときだけ必要。
漏洩したら常にパスワード変えましょうとか定期的に変えましょうはミスリード。
Re:漏洩しても問題にならない (スコア:2, すばらしい洞察)
そうやってほっとくから「えっと、ここは漏洩したとこだっけか」とかいつまでもやるはめになるんだよ。
いつでも即変更するのがもっともコストが低い。
Re: (スコア:0)
そしていつの間にかアカウント連携に対応していて問題になるんですね。
いろいろ突っ込みどころ満載 (スコア:0)
> 249人のユーザーのうち、収集期間中に利用しているサービスでデータの漏洩があったと判明したのは63人
少なすぎ
> 収集されたデータには、Webトラフィックだけでなく、Webサイトへのログインに使用されているブラウザ内保存パスワード
収集しすぎ
> 漏洩が発生したサービスと同じパスワードを使っているサービスは平均で30近くあった
偏りすぎ
閲覧履歴とは別に、パスワードまで他人に知られるような実験に協力する時点で、大分セキュリティや脳らへんが弱い人が実験対象になってる。
通常、漏洩が発生したらアカウントはロックされて、パスワード変更するまで使えない。
再度アクセスしないって事は、利用していない、または忘れてるって事。
漏洩したサービスのアクティブユーザは30%程度って事はなんとなく分かる。
コレなんの意味がある実験なんだ?
アレな人がアレな人を研究してもアレな結果しか得られないみたいな哲学的研究?
Re:いろいろ突っ込みどころ満載 (スコア:5, すばらしい洞察)
IEEE 2020 Workshop on Technology and Consumer Protection なんだから
英語で作文できて会話できる人なら誰でも研究発表できます
ですから、「少なすぎ」「偏りすぎ」と言いたいなら
あなた自身でもっと沢山のデータをあつめて、偏りがない調査を行ったうえで、それをworkshopで発表してください
それが出来ないかぎりは、このwokshopでの発表のほうがまだ価値があります
何もやってない人が、なにかをやった人を批判するほうが、よっぽど意味がないですよ
Re: (スコア:0)
今回の話とは別に一般論として、やらないよりやった方が価値があるという意見はよく聞くけど本当にそうなのか。
例えばニセ科学みたいな情報をばらまかれても、本当にそう言えるのか。
Re: (スコア:0)
なんでも変えりゃいいって維新信者みたいなのが世の中の大勢のようですのでそうなんじゃないですかね?知らんけど。
Re: (スコア:0)
今の国政の流れを見てそう言ってるのなら貴方の目は節穴ですらない。
言葉の本来の意味とネジレてしまっているのはなんとかしてほしいものだが。
Re: (スコア:0)
その例えは「犯罪はやらないよりやった方がいいのか」と同じくらい無意味な例えだけど
端的な反例:ジェンナーの種痘(Re:いろいろ突っ込みどころ満載) (スコア:0)
>今回の話とは別に一般論として、やらないよりやった方が価値があるという意見はよく聞くけど本当にそうなのか。
端的な反例
ジェンナーがやってみなかったら種痘(ワクチン療法)は生まれず,今も天然痘は猛威をふるっていたでしょうね.
# もちろん今にして見ればその方法は倫理的にアレではあるのだが
研究対象や手順等が定義されたちゃんと科学的な方法での研究であれば
役に立つ立たないは別にして,単純に新しい知識が得られることが価値だと私は考えます.
この考え方は世間的にもある程度支持されているのではないでしょうか.
日本人がたびたび受賞しているイグノーベル賞がそこ
Re: (スコア:0)
> 研究対象や手順等が定義されたちゃんと科学的な方法での研究であれば
なんだ、こういう条件付きなら全然反例になってないじゃん。
元々、やり方がなってないという指摘に「やってない人が」という突っ込みが入った流れなんだから。
題材としてはSTAP細胞の方が適切なんじゃないかな。
Re: (スコア:0)
いやいやいや、ワークショップは突っ込み入れてなんぼでしょ?
発表するだけのワークショップって、ワークショップってそういうものだっけ?
そもそも、研究するなら、プロバイダに直接パスワード変更した人数聞けば済む話で、その方が有益な情報が得られたよね。
研究者が被験者のパスワードを知った時点で、情報が漏洩してるっていう論理的な考証がされてないのも、セキュリティの研究者として如何なものか・・・。
批判を必要以上に嫌がる人って、自己評価低い人多いですよね。
それから、批判に対して、批判で返すという自己矛盾に陥って、後で更に自己評価が落ちてしまう。
政治やってない人が、政治に文句言うのは許せますか?どうですか?
Re: (スコア:0)
その理屈だと一々手間暇かけて追試しなきゃ詐欺師のホラ話に反論一つ許されない。
手法自体の問題の指摘は理論の検証作業に当たるのだから「やっている」し、
現在それなりに信用されている理論との著しい乖離の指摘や
実験者の信頼性への懸念表明自体は根拠さえあれば問題ないかと。
反論や指摘を実験したかどうかなどの権威を持って却下するのは科学的ではないだろう。
全部googleのせい (スコア:0)
過去に使ったパスワードが使えない(設定できない)ので、パスワードを変更する行為自体やめました
#いや分かるよ?分かるけどさ…
パスワードはブラウザに覚えさせた方が安心? (スコア:0)
たとえばamazonのフィッシングサイトとか山のようにあるわけだが、
amazonのパスワードをブラウザに記憶して入力してくれるようにしておけば、
フィッシングサイトではブラウザが入力してくれないので、フィッシングにはひっかからない
Re: (スコア:0)
みんなパスワードマネージャー使っててパスワードはランダムワードだと思うよ。
Re: (スコア:0)
まあまあ有効だと思います。
ただ、偽装が精巧で、かつユーザーが騙されやすい精神状態にある時(急いでいるとか、信用を置くヒントが与えられているとか)は、
ユーザーが積極的にパスワード入力を行ってしまうので、真の対策になるかはわかりません。
そこまで騙し切るのがフィッシングなので。