「ログインしたまま」「ブラウザにパスワードを記憶」を利便性重視と評価、フィッシング対策協議会 105
ストーリー by nagazou
顔認証に関してはマスクのせいもあるとは思う 部門より
顔認証に関してはマスクのせいもあるとは思う 部門より
フィッシング対策協議会は9日、インターネットサービスの認証方法に関するアンケート調査の結果を発表した(インターネットサービス利用者に対する「認証方法」に関するアンケート調査結果、フィッシング対策協議会)。調査は02月28日~03月2日の約1か月の間、ネット上で行われたもので、回答者数は562名となっている。調査の目的としては、各種Webサービスの事業者が採用している認証方法についての利用状況の把握と、提供者側と利用者側の意識の違いなどを知るために行われたものだという。
よく利用するインターネットサービスに関する回答結果では、メールが65.3%、ニュースが60.9%、SNSが51.4%となっている。この中でも18~29歳ではSNSが79.3%と高い割合となっている。これらの若い世代に関しては、LINE、Facebook、TwitterといったSNSを利用したサービス認証の利用が77.5%と多くなっている。全体の平均では59.4%で、40~49歳になると59.6%、50~59歳になると46.4%にまで低下する。
各種Webサービスが「ログインしたままの状態」に設定できる場合、設定できると答えた人は、年齢全体では34.3%だったのに対して、18~29歳では49.5%と大幅に多いことが分かった。こちらに関しては30~30歳になると36.0%まで一気に下がり、それ以上の年代でもログインしたままの状態にしておく人の割合は低い。
ブラウザにパスワードを記録させることが多いかについては、こちらも18~29歳は46.8%、30~30歳も39.6%ほどと高めになっている。記憶力に自信がなくなってきていると思われる60~69歳の高齢層も39.3%と高めになっている。40~59歳の年代の人はこうした機能の利用に比較的抵抗があるようだ。
スマホの画面ロック方法については、パスコード方式が42.2%、指紋認証が34.7%、顔認証が23.1%、ロックしていないが23.1%となっており、顔認証や指紋認証についての質問に関しては、顔認証については18.9%の利用者は嫌っており、生体データをサービスへ預けることに嫌悪感を持っているとする回答もあったとしている。
よく利用するインターネットサービスに関する回答結果では、メールが65.3%、ニュースが60.9%、SNSが51.4%となっている。この中でも18~29歳ではSNSが79.3%と高い割合となっている。これらの若い世代に関しては、LINE、Facebook、TwitterといったSNSを利用したサービス認証の利用が77.5%と多くなっている。全体の平均では59.4%で、40~49歳になると59.6%、50~59歳になると46.4%にまで低下する。
各種Webサービスが「ログインしたままの状態」に設定できる場合、設定できると答えた人は、年齢全体では34.3%だったのに対して、18~29歳では49.5%と大幅に多いことが分かった。こちらに関しては30~30歳になると36.0%まで一気に下がり、それ以上の年代でもログインしたままの状態にしておく人の割合は低い。
ブラウザにパスワードを記録させることが多いかについては、こちらも18~29歳は46.8%、30~30歳も39.6%ほどと高めになっている。記憶力に自信がなくなってきていると思われる60~69歳の高齢層も39.3%と高めになっている。40~59歳の年代の人はこうした機能の利用に比較的抵抗があるようだ。
スマホの画面ロック方法については、パスコード方式が42.2%、指紋認証が34.7%、顔認証が23.1%、ロックしていないが23.1%となっており、顔認証や指紋認証についての質問に関しては、顔認証については18.9%の利用者は嫌っており、生体データをサービスへ預けることに嫌悪感を持っているとする回答もあったとしている。
ブラウザのパスワード記録は初見のフィッシングサイトでは無効化されるのでは (スコア:4, すばらしい洞察)
いつもログインしてるところならブラウザが記憶してるが、初見のフィッシングサイトをブラウザが記憶しているわけがないのでパスワードの手入力を求められる。いつもの違う操作を要求されることで、フィッシングサイトであることに気付くなんてケースもあるのでは。
ブラウザ側の実装によっては安全性が高まるという側面もあるのではないか。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:0)
少なくとも毎回ログインしてると、ログイン作業に慣れが生じるわけで、フィッシングサイトを開いたときに気がついてストップする可能性は下がるよなぁ。
ロック方法 (スコア:1)
>スマホの画面ロック方法については、パスコード方式が42.2%、指紋認証が34.7%、顔認証が23.1%、ロックしていないが23.1%となっており
×ロック方法
〇ロック解除方法
ロックするのに認証が必要とかありえん
Re:ロック方法 (スコア:1)
一応出版社の認証は必要なんじゃないかなあ?
「うちは休刊にしてもいいよ」という。
Re: (スコア:0)
肌身離さないからロックはいらないなあ
顔と指紋はIDじゃないの? (スコア:1)
認証に使われてるけど、顔と指紋は個人のIDじゃないのか?といつも思います。
いつも表にさらしているので、良くない気がして自分は顔認証と指紋認証は使用しません。
Re:顔と指紋はIDじゃないの? (スコア:1)
あぁ、ごめんなさい。そうですね。
PINに公開情報を使うのはいやだなって。
パスワード管理ソフトを使え (スコア:0)
よく「パスワード管理ソフトがウイルスでやられたら!」って否定する奴居るけど
パスワード管理ソフトからパスワードが流出する事例と比べたらネット経由でサイトが陥落するケースの方が100000000万倍多い
特に「人の頭で考えた・人が記憶するパスワード」が突破されるケースがほとんど
どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強
そして生体認証でショルダーハッキング対策すれば完璧
時代錯誤。パスワードを端末に保存したら多要素認証ですらなくなる。 (スコア:3, 興味深い)
ランダムで強度の高いパスワードを使う必要があったのは、多要素認証が無くパスワードに依存していた時代。
今のみずほ銀行だったら、振込機能の悪用には
(1) お客さま番号 (≠口座番号) … 知識情報 または 所持情報 (書かれているカードがあるため)
(2) いつもと違う環境からのログインの場合、秘密の質問の答え1 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)
(3) いつもと違う環境からのログインの場合、秘密の質問の答え2 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)
(4) ログインパスワード … 知識情報
(5) ハードウェアトークンのテンキーに振込先口座番号を入力して生成するタイムベースのHMAC (トークンを使用している場合) … 所持情報
の5つがいる。
例えば、上記のみずほ銀行のサービスの場合、インターネット経由での悪意のある人物による不正振り込みはハードウェアトークンに口座番号を入力できない時点で不可能なので、そもそもオンライン攻撃を防ぐためにパスワード強度を高める必要はまったくない。
(5) で所持認証は既になされているので、ログインパスワードを記憶せずに、ログインパスワードの強度を上げて端末に保存させれば、せっかくの多要素認証が「所持情報」だけになってかえって強度が低下してしまう。
例えば、家に侵入した泥棒や家族が振込機能を悪用しようとしたとき、それを確実に防ぐにはログインパスワードを「知識情報」として使用するしかない。
多要素認証があるサービスでは、例え強度を犠牲にしても、ログインパスワードは記憶すべきだ。
パスワードを端末に保存させた時点で、「知識情報」が「所持情報」に変化するので、多要素認証ですらなくなることを認識すべき。
※なお、いまだに多要素認証に糞サービスならば、強度の高いランダムパスワードをブラウザ等に保存するのが良いだろう。
Re:時代錯誤。パスワードを端末に保存したら多要素認証ですらなくなる。 (スコア:1)
暗記して手入力する行為に慣れている方がフィッシング詐欺に利用されやすいっていう理論だと思います。
Re: (スコア:0)
秘密の質問って、友人とか近親者に対しては秘密じゃないし、SNSとかの情報から類推できたりするので信用してない。
結局、ランダムに生成した文字列をログインパスワードとかと一緒にパスワードマネージャーに覚えさせてる。
(もちろん、パスワードマネージャーのパスワードは頭の中にしか置いていない)
Re:時代錯誤。パスワードを端末に保存したら多要素認証ですらなくなる。 (スコア:1)
頭いいこと言っているつもりなんだろうけど、"パスワードレス認証" っていうのは、ログイントークンや公開鍵認証の秘密鍵を端末に保存することを前提としており(「所持情報」に該当)、
その上でローカル認証の PIN(知識情報)や 指静脈認証等 (生体情報) を組み合わせることをセキュリティ上推奨している。
サーバに送信するパスワードでも、ローカル認証のPINでも、多要素認証を考える上での知識情報に該当するのは同じこと。
Re:パスワード管理ソフトを使え (スコア:1)
要出典:100000000万倍多い
Re:パスワード管理ソフトを使え (スコア:1)
ブラウザにパスワード管理機能があるなら、そちらを優先して使用した方が良い。
入力されるパスワードとドメインやURIが関連付けられているのでフィッシングに強くなる。
実際の悪用って身内が多いんだけどねぇ (スコア:0)
ブラウザに記憶させたら、寝ている間にスマホの指紋認証突破されたり探偵にグミ指で指紋認証突破されたりして身内に情報盗み取られるな
どうもセキュリティオタクって独身が多いせいか同居者に悪用されるケースを全然考えていない人が多すぎる
実際はクレカの不正利用などの金融犯罪でも同居者・家族・親族が圧倒的多数だってのに
Re: (スコア:0)
そういうことできる時点で、パスワード管理ツールの問題じゃないっての。
別のセキュリティソリューション導入しろ。
ただパスワード覚えるだけなんですけど (スコア:0)
パスワード覚えて毎回ログアウトするだけでいいんですけどねぇ
それを「セキュリティソリューション」とは大げさな
Re: (スコア:0)
ぜんぜん覚えられない
使わないから脳が劣化しているんだろうな (スコア:0)
パスワード覚えられない人って、漢字も書けなそう
常用漢字半分ぐらいしか書けなそう
脳トレだと思ってパスワードぐらい覚える訓練した方が良いよ
Re: (スコア:0)
老害はネットしないからそれで済むんだろうけど、一般人は数年で数百個くらいアカウント使い捨てるからね
Re: (スコア:0)
お前が今まで食ったパスワードの数を数えろ
Re: (スコア:0)
フィッシング対策協議会としてはフィッシング被害でなればソーシャルクラッキングで被害を受けようとも問題無いのです!!
指紋認証、あれはダメですわ
スマホだとある程度の間隔でパスワードを要求されるとは言え、寝ている時に使われる事を防止できない
割とある話だと、配偶者などがスマホのロックを解除してというパターンをよく聞きますが
妹の家庭では、妹がリビングでTV見ながら寝てしまった時子どもにiPhoneを指紋でロック解除された後ソシャゲの課金を指紋で承認させられたとのこと
家の中で限定で古いiPhoneで許可した時間のみ使わせていて、誕生日とかだけ少額課金していたのに満足できず犯行に走った模様
お使いの時こそっと物理ガチャ1回ずつ回してた私と妹の子ども自体とは(しかもバレてた)、同じガチャ回すにしても時代が変わったものです
Re: (スコア:0)
まあそのパターンならパスワード管理ツール使っても同じこと。
Re: (スコア:0)
瞬き必須の顔認証でもすれば
Re:パスワード管理ソフトを使え (スコア:1)
先般redditで話題になっていたこの表を見て
https://www.reddit.com/r/dataisbeautiful/comments/ihpo84/oc_i_hope_you... [reddit.com]
アルファベット+数字+スペース程度でも十分に長い文字列であればそれでよい
英数大小記号ランダムであっても8文字程度では不十分
と考えを改めるに至った
Re: (スコア:0)
どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強
コピペできず手入力させられたり、口頭で伝えさせられたり、記号や文字数で動作不良を起こしたりするので、安易にこれをやると後々面倒になる。
パスワードは頑張って暗記しろ (スコア:0)
警察に家宅捜索or任意の捜査に協力して「パスワード管理ソフト」が入ったパソコン押収されたら、自分のアカウントにすらログインできなくなるよ
押収されたパソコンはいつ帰ってくるか分からないし全てのアカウントを失うことになる
受験勉強で無意味に思えるような文字列、例えば歴史の年号とか人名・国名を何百と暗記した記憶あるだろ?
ほんとに重要なパスワードなんてせいぜい20か30しかないんだから、それぐらい十分な強度を持つものを暗記すれば良い
それに暗記したパスワードは「黙秘」するだけでなく、「忘れた」ことにもできるし、逮捕されて何日も打ち込んでないと強度の高いパスワードは忘れないように頭の中で打ち込む努力をしないだけで本当に忘れるので、忘れるか忘れないかを自分の意思でコントロールできるというメリットもある
Re: (スコア:0)
パスワード管理ソフトのファイルなりをバックアップ、あるいは多重化しとけよ
多重化しても全部押収されるが (スコア:0)
警察なめない方がいいよ
パソコン・スマホ・外付けHDD・USBメモリどころか、ルータやスイッチングハブまで電子機器まるごと押収するから(というか何だか区別できない人が押収しているだけかも)
パスワードを書き留めた紙・手帳なんかも見つかったら押収される
Re: (スコア:0)
じゃあ司法権の及ばない東欧のクラウドとかに置いとけば
Re: (スコア:0)
パスワード管理ソフトのデータベースをパスワードで暗号化してクラウドに保管しとけ
というか普通はそうなってるぞ
Re: (スコア:0)
無限ループですな
Re: (スコア:0)
暗号化のパスフレーズとクラウドサービスのパスワードは覚えていられるのか?
普段からパスワード管理ツール使う生活していて頭使っていないと、普段使っていないパスワードなんて忘れちゃうんじゃないかな
それとGoogleドライブとかだと普段と違う端末からだと「いつもと違う環境です」とか言われてSMS認証要求されたりするがスマホ押収されているとログインできなくなる
Re: (スコア:0)
ブラウザの共有機能を暗号化したら、パスワード忘れて復元できなくなったのが私です。
Re: (スコア:0)
Re: (スコア:0)
警察に家宅捜索or任意の捜査に協力して「パスワード管理ソフト」が入ったパソコン押収されたら、自分のアカウントにすらログインできなくなるよ
そんなもんパソコン壊れたって発生する話なんだから、バックアップしろや。
ほんとに重要なパスワードなんてせいぜい20か30しかないんだから、それぐらい十分な強度を持つものを暗記すれば良い
20も30も覚えられねーよ。
※私は KeePass Password Safe 2 と Kee on Firefox 利用派。
Re:パスワードは頑張って暗記しろ (スコア:2)
20も30も覚えてるもんなのかね
自分で覚えてるのは4つぐらいだなぁ
Re:パスワードは頑張って暗記しろ (スコア:2)
それはつまり毎日、長くて週に20も30もログインするって事ですか
すげえなぁ
Re: (スコア:0)
Yubikey複数枚設定して分散して保管しろ
Re: (スコア:0)
それって理屈じゃなくて「なんとなく」の感覚的な問題だと思うんだよな。
飛行機って事故の確率を考えたら極めて安全な乗り物なのに「落ちたら怖い」って乗れない奴が
その1万倍以上は危険な高速バスには平気で乗るみたいな。
パスワード記憶だって「なんとなく危険」って根拠レスの考え方でGPOで禁止してる情シス多いじゃん。
毎回手入力させたら「なんとなく安全なことやってる感」があるだけの自己満足しかない話だけど、
そんな環境に慣れたユーザはフィッシングサイト踏んでもパスワード入れるだろうなw
補償対象外になるよ (スコア:0)
各銀行やクレカの約款やら注意事項見てみ
パスワードを管理ツールやクラウドサービスに保存したり書き留めるなと書かれているから
オレが考えた最強のセキュリティを実践すると不正利用されたとき補償が効かなくなって痛い目に遭うぞ
紙に書いて隠しとけ (スコア:0)
すぐに復元できる暗号化して紙に書いて机の奥にでも突っ込んどくんだね
屋根裏や墓の隙間や貸金庫に置いとくと忘れるんでアイディア求む
Re:紙に書いて隠しとけ (スコア:2)
ルータとか買うとランダムなデフォルトパスワードがシールで貼ってあったりするじゃないですか
それにする、っていうのはどうかな
家にあっても不自然でなく、ランダム文字列でよさそうな気がする
一応2-3文字足してもいいかもしれない 最後の文字3回繰り返すとか?
Re: (スコア:0)
普通に電話メモとかの雑記帳にノーヒントで書き残してますがなにか?
今のトレンドはリバースブルートフォースアタック (スコア:0)
・口座番号 (数字6桁連番 + チェックビット数字1桁)
・暗証番号 (数字4桁)
これだけで口座振替契約を成立させて海外送金(ドコモ口座) [docomokouza.jp]も自由自在
Re: (スコア:0)
めったに使わない口座の暗証番号は故意に3回失敗窓口対応要状態にしとくべきね
Re:今のトレンドはリバースブルートフォースアタック (スコア:2)
キャッシュカード作らなければ暗証番号自体が存在しないんでもっと楽。
Re: (スコア:0)
これってパスワードは口うるさいけどIDはザルっていう良い教訓だよな
Re: (スコア:0)
パスワード(暗証番号)が数字4桁の時点でパスワードもザルだから何とも言いがたいな
Re:今のトレンドはリバースブルートフォースアタック (スコア:1)
ところが通常は通帳やキャッシュカードの物理媒体やその使用場所の監視カメラ、
引き落とし申請企業側での本人確認とか書類処理の手間が掛かる事で攻撃が制限できていたので問題なかった。
ドコモ講座やその他類似サービスはそれを全部撤去したので、
無防備なID&暗証番号に対しての攻撃が可能となってしまった。
てか、前にもこの攻撃が発生したのに、その後アカウント作成ハードル下げたって話なんだよなドコモ口座。
ほんと、何考えてんだ。暗証番号にそんな強度はねぇよ。本人確認はテメェの仕事だよ銀行に投げるな。
投げるにしても暗証番号のみでOKなところは提携しちゃ駄目だろが。