パスワードを忘れた? アカウント作成
14304518 story
インターネット

「ログインしたまま」「ブラウザにパスワードを記憶」を利便性重視と評価、フィッシング対策協議会 105

ストーリー by nagazou
顔認証に関してはマスクのせいもあるとは思う 部門より
フィッシング対策協議会は9日、インターネットサービスの認証方法に関するアンケート調査の結果を発表した(インターネットサービス利用者に対する「認証方法」に関するアンケート調査結果フィッシング対策協議会)。調査は02月28日~03月2日の約1か月の間、ネット上で行われたもので、回答者数は562名となっている。調査の目的としては、各種Webサービスの事業者が採用している認証方法についての利用状況の把握と、提供者側と利用者側の意識の違いなどを知るために行われたものだという。

よく利用するインターネットサービスに関する回答結果では、メールが65.3%、ニュースが60.9%、SNSが51.4%となっている。この中でも18~29歳ではSNSが79.3%と高い割合となっている。これらの若い世代に関しては、LINE、Facebook、TwitterといったSNSを利用したサービス認証の利用が77.5%と多くなっている。全体の平均では59.4%で、40~49歳になると59.6%、50~59歳になると46.4%にまで低下する。

各種Webサービスが「ログインしたままの状態」に設定できる場合、設定できると答えた人は、年齢全体では34.3%だったのに対して、18~29歳では49.5%と大幅に多いことが分かった。こちらに関しては30~30歳になると36.0%まで一気に下がり、それ以上の年代でもログインしたままの状態にしておく人の割合は低い。

ブラウザにパスワードを記録させることが多いかについては、こちらも18~29歳は46.8%、30~30歳も39.6%ほどと高めになっている。記憶力に自信がなくなってきていると思われる60~69歳の高齢層も39.3%と高めになっている。40~59歳の年代の人はこうした機能の利用に比較的抵抗があるようだ。

スマホの画面ロック方法については、パスコード方式が42.2%、指紋認証が34.7%、顔認証が23.1%、ロックしていないが23.1%となっており、顔認証や指紋認証についての質問に関しては、顔認証については18.9%の利用者は嫌っており、生体データをサービスへ預けることに嫌悪感を持っているとする回答もあったとしている。
  •  いつもログインしてるところならブラウザが記憶してるが、初見のフィッシングサイトをブラウザが記憶しているわけがないのでパスワードの手入力を求められる。いつもの違う操作を要求されることで、フィッシングサイトであることに気付くなんてケースもあるのでは。

     ブラウザ側の実装によっては安全性が高まるという側面もあるのではないか。

    ここに返信
    • by Anonymous Coward

      少なくとも毎回ログインしてると、ログイン作業に慣れが生じるわけで、フィッシングサイトを開いたときに気がついてストップする可能性は下がるよなぁ。

  • by hakikuma (47737) on 2020年09月11日 17時39分 (#3887325)

    >スマホの画面ロック方法については、パスコード方式が42.2%、指紋認証が34.7%、顔認証が23.1%、ロックしていないが23.1%となっており

    ×ロック方法
    〇ロック解除方法

    ロックするのに認証が必要とかありえん

    ここに返信
  • 認証に使われてるけど、顔と指紋は個人のIDじゃないのか?といつも思います。
    いつも表にさらしているので、良くない気がして自分は顔認証と指紋認証は使用しません。

    --
    The "Suruh Force" is with you,young commenter.But you are not a Sradder yet.
    ここに返信
  • by Anonymous Coward on 2020年09月11日 17時08分 (#3887284)

    よく「パスワード管理ソフトがウイルスでやられたら!」って否定する奴居るけど
    パスワード管理ソフトからパスワードが流出する事例と比べたらネット経由でサイトが陥落するケースの方が100000000万倍多い
    特に「人の頭で考えた・人が記憶するパスワード」が突破されるケースがほとんど

    どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強
    そして生体認証でショルダーハッキング対策すれば完璧

    ここに返信
    • ランダムで強度の高いパスワードを使う必要があったのは、多要素認証が無くパスワードに依存していた時代。

      今のみずほ銀行だったら、振込機能の悪用には

      (1) お客さま番号 (≠口座番号) … 知識情報 または 所持情報 (書かれているカードがあるため)
      (2) いつもと違う環境からのログインの場合、秘密の質問の答え1 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)
      (3) いつもと違う環境からのログインの場合、秘密の質問の答え2 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)
      (4) ログインパスワード … 知識情報
      (5) ハードウェアトークンのテンキーに振込先口座番号を入力して生成するタイムベースのHMAC (トークンを使用している場合) … 所持情報

      の5つがいる。

      例えば、上記のみずほ銀行のサービスの場合、インターネット経由での悪意のある人物による不正振り込みはハードウェアトークンに口座番号を入力できない時点で不可能なので、そもそもオンライン攻撃を防ぐためにパスワード強度を高める必要はまったくない。

      (5) で所持認証は既になされているので、ログインパスワードを記憶せずに、ログインパスワードの強度を上げて端末に保存させれば、せっかくの多要素認証が「所持情報」だけになってかえって強度が低下してしまう。

      例えば、家に侵入した泥棒や家族が振込機能を悪用しようとしたとき、それを確実に防ぐにはログインパスワードを「知識情報」として使用するしかない。
      多要素認証があるサービスでは、例え強度を犠牲にしても、ログインパスワードは記憶すべきだ。

      パスワードを端末に保存させた時点で、「知識情報」が「所持情報」に変化するので、多要素認証ですらなくなることを認識すべき。

      ※なお、いまだに多要素認証に糞サービスならば、強度の高いランダムパスワードをブラウザ等に保存するのが良いだろう。

      • 暗記して手入力する行為に慣れている方がフィッシング詐欺に利用されやすいっていう理論だと思います。

      • by Anonymous Coward

        秘密の質問って、友人とか近親者に対しては秘密じゃないし、SNSとかの情報から類推できたりするので信用してない。
        結局、ランダムに生成した文字列をログインパスワードとかと一緒にパスワードマネージャーに覚えさせてる。
        (もちろん、パスワードマネージャーのパスワードは頭の中にしか置いていない)

    • by Anonymous Coward on 2020年09月11日 17時12分 (#3887290)

      要出典:100000000万倍多い

    • by Anonymous Coward on 2020年09月11日 17時17分 (#3887298)

      ブラウザにパスワード管理機能があるなら、そちらを優先して使用した方が良い。
      入力されるパスワードとドメインやURIが関連付けられているのでフィッシングに強くなる。

      • ブラウザに記憶させたら、寝ている間にスマホの指紋認証突破されたり探偵にグミ指で指紋認証突破されたりして身内に情報盗み取られるな
        どうもセキュリティオタクって独身が多いせいか同居者に悪用されるケースを全然考えていない人が多すぎる
        実際はクレカの不正利用などの金融犯罪でも同居者・家族・親族が圧倒的多数だってのに

        • by Anonymous Coward

          そういうことできる時点で、パスワード管理ツールの問題じゃないっての。
          別のセキュリティソリューション導入しろ。

          • パスワード覚えて毎回ログアウトするだけでいいんですけどねぇ
            それを「セキュリティソリューション」とは大げさな

            • by Anonymous Coward

              ぜんぜん覚えられない

              • パスワード覚えられない人って、漢字も書けなそう
                常用漢字半分ぐらいしか書けなそう

                脳トレだと思ってパスワードぐらい覚える訓練した方が良いよ

              • by Anonymous Coward

                老害はネットしないからそれで済むんだろうけど、一般人は数年で数百個くらいアカウント使い捨てるからね

            • by Anonymous Coward

              お前が今まで食ったパスワードの数を数えろ

        • by Anonymous Coward

          フィッシング対策協議会としてはフィッシング被害でなればソーシャルクラッキングで被害を受けようとも問題無いのです!!

          指紋認証、あれはダメですわ
          スマホだとある程度の間隔でパスワードを要求されるとは言え、寝ている時に使われる事を防止できない
          割とある話だと、配偶者などがスマホのロックを解除してというパターンをよく聞きますが
          妹の家庭では、妹がリビングでTV見ながら寝てしまった時子どもにiPhoneを指紋でロック解除された後ソシャゲの課金を指紋で承認させられたとのこと
          家の中で限定で古いiPhoneで許可した時間のみ使わせていて、誕生日とかだけ少額課金していたのに満足できず犯行に走った模様
          お使いの時こそっと物理ガチャ1回ずつ回してた私と妹の子ども自体とは(しかもバレてた)、同じガチャ回すにしても時代が変わったものです

        • by Anonymous Coward

          まあそのパターンならパスワード管理ツール使っても同じこと。

        • by Anonymous Coward

          瞬き必須の顔認証でもすれば

    • by Anonymous Coward on 2020年09月11日 17時53分 (#3887331)

      先般redditで話題になっていたこの表を見て
      https://www.reddit.com/r/dataisbeautiful/comments/ihpo84/oc_i_hope_you... [reddit.com]
      アルファベット+数字+スペース程度でも十分に長い文字列であればそれでよい
      英数大小記号ランダムであっても8文字程度では不十分
      と考えを改めるに至った

    • by Anonymous Coward

      どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強

      コピペできず手入力させられたり、口頭で伝えさせられたり、記号や文字数で動作不良を起こしたりするので、安易にこれをやると後々面倒になる。

    • 警察に家宅捜索or任意の捜査に協力して「パスワード管理ソフト」が入ったパソコン押収されたら、自分のアカウントにすらログインできなくなるよ
      押収されたパソコンはいつ帰ってくるか分からないし全てのアカウントを失うことになる

      受験勉強で無意味に思えるような文字列、例えば歴史の年号とか人名・国名を何百と暗記した記憶あるだろ?
      ほんとに重要なパスワードなんてせいぜい20か30しかないんだから、それぐらい十分な強度を持つものを暗記すれば良い

      それに暗記したパスワードは「黙秘」するだけでなく、「忘れた」ことにもできるし、逮捕されて何日も打ち込んでないと強度の高いパスワードは忘れないように頭の中で打ち込む努力をしないだけで本当に忘れるので、忘れるか忘れないかを自分の意思でコントロールできるというメリットもある

      • by Anonymous Coward

        パスワード管理ソフトのファイルなりをバックアップ、あるいは多重化しとけよ

        • 警察なめない方がいいよ
          パソコン・スマホ・外付けHDD・USBメモリどころか、ルータやスイッチングハブまで電子機器まるごと押収するから(というか何だか区別できない人が押収しているだけかも)
          パスワードを書き留めた紙・手帳なんかも見つかったら押収される

          • by Anonymous Coward

            じゃあ司法権の及ばない東欧のクラウドとかに置いとけば

      • by Anonymous Coward

        パスワード管理ソフトのデータベースをパスワードで暗号化してクラウドに保管しとけ
        というか普通はそうなってるぞ

        • by Anonymous Coward

          無限ループですな

        • by Anonymous Coward

          暗号化のパスフレーズとクラウドサービスのパスワードは覚えていられるのか?
          普段からパスワード管理ツール使う生活していて頭使っていないと、普段使っていないパスワードなんて忘れちゃうんじゃないかな

          それとGoogleドライブとかだと普段と違う端末からだと「いつもと違う環境です」とか言われてSMS認証要求されたりするがスマホ押収されているとログインできなくなる

          • by Anonymous Coward

            ブラウザの共有機能を暗号化したら、パスワード忘れて復元できなくなったのが私です。

          • by Anonymous Coward
            どうせスマホは返ってこないか返ってきても数ヶ月後なんだから新しいの買ってSIM再発行しろ
      • by Anonymous Coward

        警察に家宅捜索or任意の捜査に協力して「パスワード管理ソフト」が入ったパソコン押収されたら、自分のアカウントにすらログインできなくなるよ

        そんなもんパソコン壊れたって発生する話なんだから、バックアップしろや。

        ほんとに重要なパスワードなんてせいぜい20か30しかないんだから、それぐらい十分な強度を持つものを暗記すれば良い

        20も30も覚えられねーよ。

        ※私は KeePass Password Safe 2 と Kee on Firefox 利用派。

      • by Anonymous Coward

        Yubikey複数枚設定して分散して保管しろ

    • by Anonymous Coward

      それって理屈じゃなくて「なんとなく」の感覚的な問題だと思うんだよな。
      飛行機って事故の確率を考えたら極めて安全な乗り物なのに「落ちたら怖い」って乗れない奴が
      その1万倍以上は危険な高速バスには平気で乗るみたいな。

      パスワード記憶だって「なんとなく危険」って根拠レスの考え方でGPOで禁止してる情シス多いじゃん。
      毎回手入力させたら「なんとなく安全なことやってる感」があるだけの自己満足しかない話だけど、
      そんな環境に慣れたユーザはフィッシングサイト踏んでもパスワード入れるだろうなw

    • 各銀行やクレカの約款やら注意事項見てみ
      パスワードを管理ツールやクラウドサービスに保存したり書き留めるなと書かれているから

      オレが考えた最強のセキュリティを実践すると不正利用されたとき補償が効かなくなって痛い目に遭うぞ

  • by Anonymous Coward on 2020年09月11日 17時33分 (#3887320)

    すぐに復元できる暗号化して紙に書いて机の奥にでも突っ込んどくんだね
    屋根裏や墓の隙間や貸金庫に置いとくと忘れるんでアイディア求む

    ここに返信
    • ルータとか買うとランダムなデフォルトパスワードがシールで貼ってあったりするじゃないですか
      それにする、っていうのはどうかな
      家にあっても不自然でなく、ランダム文字列でよさそうな気がする
      一応2-3文字足してもいいかもしれない 最後の文字3回繰り返すとか?

    • by Anonymous Coward

      普通に電話メモとかの雑記帳にノーヒントで書き残してますがなにか?

  • by Anonymous Coward on 2020年09月11日 18時18分 (#3887357)

    ・口座番号 (数字6桁連番 + チェックビット数字1桁)
    ・暗証番号 (数字4桁)

    これだけで口座振替契約を成立させて海外送金(ドコモ口座) [docomokouza.jp]も自由自在

    ここに返信
    • by Anonymous Coward

      めったに使わない口座の暗証番号は故意に3回失敗窓口対応要状態にしとくべきね

    • by Anonymous Coward

      これってパスワードは口うるさいけどIDはザルっていう良い教訓だよな

      • by Anonymous Coward

        パスワード(暗証番号)が数字4桁の時点でパスワードもザルだから何とも言いがたいな

        • ところが通常は通帳やキャッシュカードの物理媒体やその使用場所の監視カメラ、
          引き落とし申請企業側での本人確認とか書類処理の手間が掛かる事で攻撃が制限できていたので問題なかった。
          ドコモ講座やその他類似サービスはそれを全部撤去したので、
          無防備なID&暗証番号に対しての攻撃が可能となってしまった。

            てか、前にもこの攻撃が発生したのに、その後アカウント作成ハードル下げたって話なんだよなドコモ口座。
          ほんと、何考えてんだ。暗証番号にそんな強度はねぇよ。本人確認はテメェの仕事だよ銀行に投げるな。
          投げるにしても暗証番号のみでOKなところは提携しちゃ駄目だろが。

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...