パスワードを忘れた? アカウント作成
14203492 story
ニュース

利用サービスで情報漏洩が発生しても、パスワードを変えるユーザーは3分の1程度 28

ストーリー by hylom
サービスを使ってないから放置、というユーザーも少なくなさそうだが 部門より

Anonymous Coward曰く、

カーネギーメロン大学CyLabセキュリティ&プライヴァシー研究所の研究者らによる調査で、サービスがサイバー攻撃を受けて個人情報が流出した場合、そのサービスの利用者でパスワードを変更するのは3分の1程度だということが分かった(ZDNetBank Info SecuritySlashdot)。この調査はIEEE 2020 Workshop on Technology and Consumer Protectionで発表されたもので、実際のブラウザトラフィックを元に算出されたものだという。

研究に使用されたデータセットには、参加者249人のホームコンピュータから収集された情報が含まれている。データの収集期間は2017年1月から2018年12月までで、この期間中にYahoo、Disqus、MyFitnessPal、Deloitteなど影響を与えるデータ震害が発生している。収集されたデータには、Webトラフィックだけでなく、Webサイトへのログインに使用されているブラウザ内保存パスワードも含まれるという。

249人のユーザーのうち、収集期間中に利用しているサービスでデータの漏洩があったと判明したのは63人。その63人のユーザーのうち21人(33%)がパスワードの変更のため漏洩のあったサイトに再アクセスした。なお、データ漏洩の発表があってから3か月以内にパスワードを変更したのは15人のユーザーだけだった。 また、漏洩が発生したサービスと同じパスワードを使っているサービスは平均で30近くあったことも分かったとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2020年06月05日 16時24分 (#3828138)

    ハッシュ化されたパスワードが漏れたのか、平文パスワードが漏れたかによっても違う
    最近は20文字以上のランダムパスワード使ってるので、
    ハッシュ化されたパスワードが漏れても悪用される確率がかなり低い

    • by Anonymous Coward

      「個人情報の流出」にパスワードが含まれているのか記事では曖昧だけど、
      パスワード漏洩かましておいて再設定求めず運用するWebサービスなんてあるの?と思った。

      まあ使い回してなきゃ次に使う時まで放っておいていいだろって感じだし、
      使い回してたら使い回しパスワードを使ってる全サービスのパスワード全部変更、なんてわざわざやらないだろうな。

    • by Anonymous Coward

      パスワードを忘れるから、人々は弱いパスワードを使うわけであって。

      むしろ「ブラウザのパスワード保管」と相性の悪いWebサイトを、どうにかしてくれないかな。
      例えばIDを「〇〇」-「〇〇〇〇」と、二つのフォームに区切って入力させるサイトとか。

      • by Anonymous Coward

        さすがに2020年にもなってそのレベルの酷いサイトは保守もちゃんとされてるのか怪しいし使うのをやめた方が良いような
        法人向けのWebアプリとか、あとは物理カードのIDがログインIDになってるサイトとかだと仕方ないとは思うけどね

        • by Anonymous Coward on 2020年06月05日 20時45分 (#3828361)
          三井住友銀行は使い続けたい…
          親コメント
          • by Anonymous Coward

            キャッシュカードや暗証カードの番号がIDになってるタイプはどうしようもないなw
            ただ、作成したログインアカウントに口座を紐づけるような形にしてくれよとは思う

        • by Anonymous Coward

          ゆうちょ銀行は、IDが3つのフォームに区切られる素敵仕様ですわ

        • by Anonymous Coward

          某R銀行は最近になってIDとパスワードを別々入力させる方式に切り替わったという

      • by Anonymous Coward

        楽天銀行みたいに支店番号と口座番号合体させて入力しろ、というのもなんか面倒

  • by Anonymous Coward on 2020年06月06日 1時55分 (#3828489)

    パスワード入力させる会員制サイトは多いけど、そのパスワードが重要度はぜんぜん違うんだよね。
    正直漏洩したならしたで構わんって方が多いわけで。

    銀行とかメールとかメインに使ってるSNSアカウントを破られたらシャレにならないので多要素認証にもするし漏洩すれば変えるけど、見る専用の絵サイトとかニュースサイトあたりは超簡単なものにするし漏洩しても正直どーでもいい。(その「どうでもいい」のが強固な認証を求めてきたらうざいので登録しないって選択になる)

  • by Anonymous Coward on 2020年06月05日 15時52分 (#3828104)

    利用してないサービスのパスワードが漏洩しても問題にならない。
    利用していても重要な情報を預けてないサービスは漏洩しても問題にならない。
    そもそもパスワードの使い回しはしてないから漏洩しても問題にならない。

    「情報漏洩したからパスワード変えましょう」は条件を満たしたときだけ必要。
    漏洩したら常にパスワード変えましょうとか定期的に変えましょうはミスリード。

    • by Anonymous Coward on 2020年06月05日 16時08分 (#3828117)

      そうやってほっとくから「えっと、ここは漏洩したとこだっけか」とかいつまでもやるはめになるんだよ。
      いつでも即変更するのがもっともコストが低い。

      親コメント
    • by Anonymous Coward

      そしていつの間にかアカウント連携に対応していて問題になるんですね。

  • by Anonymous Coward on 2020年06月05日 16時31分 (#3828146)

    > 249人のユーザーのうち、収集期間中に利用しているサービスでデータの漏洩があったと判明したのは63人
    少なすぎ

    > 収集されたデータには、Webトラフィックだけでなく、Webサイトへのログインに使用されているブラウザ内保存パスワード
    収集しすぎ

    > 漏洩が発生したサービスと同じパスワードを使っているサービスは平均で30近くあった
    偏りすぎ

    閲覧履歴とは別に、パスワードまで他人に知られるような実験に協力する時点で、大分セキュリティや脳らへんが弱い人が実験対象になってる。

    通常、漏洩が発生したらアカウントはロックされて、パスワード変更するまで使えない。
    再度アクセスしないって事は、利用していない、または忘れてるって事。
    漏洩したサービスのアクティブユーザは30%程度って事はなんとなく分かる。

    コレなんの意味がある実験なんだ?
    アレな人がアレな人を研究してもアレな結果しか得られないみたいな哲学的研究?

    • by Anonymous Coward on 2020年06月05日 16時39分 (#3828160)

      IEEE 2020 Workshop on Technology and Consumer Protection なんだから
      英語で作文できて会話できる人なら誰でも研究発表できます

      ですから、「少なすぎ」「偏りすぎ」と言いたいなら
      あなた自身でもっと沢山のデータをあつめて、偏りがない調査を行ったうえで、それをworkshopで発表してください

      それが出来ないかぎりは、このwokshopでの発表のほうがまだ価値があります

      何もやってない人が、なにかをやった人を批判するほうが、よっぽど意味がないですよ

      親コメント
      • by Anonymous Coward

        今回の話とは別に一般論として、やらないよりやった方が価値があるという意見はよく聞くけど本当にそうなのか。
        例えばニセ科学みたいな情報をばらまかれても、本当にそう言えるのか。

        • by Anonymous Coward

          なんでも変えりゃいいって維新信者みたいなのが世の中の大勢のようですのでそうなんじゃないですかね?知らんけど。

        • by Anonymous Coward

          その例えは「犯罪はやらないよりやった方がいいのか」と同じくらい無意味な例えだけど

        • >今回の話とは別に一般論として、やらないよりやった方が価値があるという意見はよく聞くけど本当にそうなのか。
          端的な反例
          ジェンナーがやってみなかったら種痘(ワクチン療法)は生まれず,今も天然痘は猛威をふるっていたでしょうね.
          # もちろん今にして見ればその方法は倫理的にアレではあるのだが

          研究対象や手順等が定義されたちゃんと科学的な方法での研究であれば
          役に立つ立たないは別にして,単純に新しい知識が得られることが価値だと私は考えます.
          この考え方は世間的にもある程度支持されているのではないでしょうか.
          日本人がたびたび受賞しているイグノーベル賞がそこ

          • by Anonymous Coward

            > 研究対象や手順等が定義されたちゃんと科学的な方法での研究であれば
            なんだ、こういう条件付きなら全然反例になってないじゃん。
            元々、やり方がなってないという指摘に「やってない人が」という突っ込みが入った流れなんだから。

            題材としてはSTAP細胞の方が適切なんじゃないかな。

      • by Anonymous Coward

        いやいやいや、ワークショップは突っ込み入れてなんぼでしょ?
        発表するだけのワークショップって、ワークショップってそういうものだっけ?

        そもそも、研究するなら、プロバイダに直接パスワード変更した人数聞けば済む話で、その方が有益な情報が得られたよね。
        研究者が被験者のパスワードを知った時点で、情報が漏洩してるっていう論理的な考証がされてないのも、セキュリティの研究者として如何なものか・・・。

        批判を必要以上に嫌がる人って、自己評価低い人多いですよね。
        それから、批判に対して、批判で返すという自己矛盾に陥って、後で更に自己評価が落ちてしまう。
        政治やってない人が、政治に文句言うのは許せますか?どうですか?

      • by Anonymous Coward

        その理屈だと一々手間暇かけて追試しなきゃ詐欺師のホラ話に反論一つ許されない。
        手法自体の問題の指摘は理論の検証作業に当たるのだから「やっている」し、
        現在それなりに信用されている理論との著しい乖離の指摘や
        実験者の信頼性への懸念表明自体は根拠さえあれば問題ないかと。

        反論や指摘を実験したかどうかなどの権威を持って却下するのは科学的ではないだろう。

  • by Anonymous Coward on 2020年06月05日 16時57分 (#3828189)

    過去に使ったパスワードが使えない(設定できない)ので、パスワードを変更する行為自体やめました

    #いや分かるよ?分かるけどさ…

  • by Anonymous Coward on 2020年06月05日 19時04分 (#3828300)

    たとえばamazonのフィッシングサイトとか山のようにあるわけだが、
    amazonのパスワードをブラウザに記憶して入力してくれるようにしておけば、
    フィッシングサイトではブラウザが入力してくれないので、フィッシングにはひっかからない

    • by Anonymous Coward

      みんなパスワードマネージャー使っててパスワードはランダムワードだと思うよ。

    • by Anonymous Coward

      まあまあ有効だと思います。

      ただ、偽装が精巧で、かつユーザーが騙されやすい精神状態にある時(急いでいるとか、信用を置くヒントが与えられているとか)は、
      ユーザーが積極的にパスワード入力を行ってしまうので、真の対策になるかはわかりません。
      そこまで騙し切るのがフィッシングなので。

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...