TakagiHiromitsu氏総務省のリスト型アカウントハッキング対策について指摘する
-
- いいね!56
残念な形(17)
@zannenform
はい。専門家の皆さん、総務省にそう言ってやってください。 / “管理者パスワードは定期変更ではなく、ルールを決める | 水無月ばけらのえび日記” http://t.co/51dLoZd0
2012-02-12 23:26:20
徳丸 浩
@ockeghem
総務省に言っても無駄で、総務省の集めた先生方に言わないといけないと思います。ぜひ言いたいですね RT @zannenform: はい。専門家の皆さん、総務省にそう言ってやってください。 / “管理者パスワードは定期変更ではなく、ルールを” http://t.co/XfQpaVnV
2012-02-12 23:48:52
d9
@d9mtx773
パスワードの定期変更ルールって本当に頭が悪いと思って会社でも見直せって言っているんだけど、結局みんな総務省のやつを参照しているせいで直せないんだよな。
2013-09-09 03:56:27
北河拓士🔰
@kitagawa_takuji
http://t.co/z1HePsdu3S 何らかの方法で作成されたID・パスワードのリストをもとに不正アクセスを行うリスト型攻撃に対しては、定期的にパスワードを変更することでリストを古いものにし、リストを役立たないものにすることが有効です。 < お上からの定期変更の推奨きたー
2013-12-18 14:56:33
TAKAGI, Hiromitsu
@TakagiHiromitsu
総務省から、パスワードリスト型不正ログイン攻撃への対策を推奨する文書 http://t.co/jLxED6eZJA が出たのですが、最悪なことに、パスワードの定期的変更を強制する策を推奨するものになっています。
2013-12-18 18:44:19
TAKAGI, Hiromitsu
@TakagiHiromitsu
総務省が推奨する対策は、利用者にパスワードの使い回しを止めるように促し、その上で、パスワードを半年から一年で定期的に変更を強制するというものになっています。(過去に使用されたパスワードも記憶させておいて再使用を禁止することが推奨されています。)
2013-12-18 18:46:55
TAKAGI, Hiromitsu
@TakagiHiromitsu
これは、利用者に著しい不便を強いるものであり、私はまったく賛成できません。昔はそういうサイトもありました。2000年ごろAppleのログインがそうであったことを記憶しています。著しく不便であり、使わなくなっていたところ、後にそういうやり方は廃止されて今の姿に成ったのを見ています。
2013-12-18 18:48:46
TAKAGI, Hiromitsu
@TakagiHiromitsu
サイト別パスワードかつ定期的変更となると、手入力は不可能であり、もはやそれは人の記憶による認証ではないものとなるでしょう。総務省の文書は、パスワードマネージャの使用を推奨しており、それ前提で可能な策を示たのでしょう。しかし、そういうのは、万人に強制するものではありません。
2013-12-18 19:08:38
TAKAGI, Hiromitsu
@TakagiHiromitsu
総務省の推奨によりそれがスタンダードとなれば、パスワードマネージャが手元にないときのログインが不可能なサイトばかりという世界に行き着くことになります。業界はそのような世界を望んでいるのでしょうか?
2013-12-18 19:10:39
TAKAGI, Hiromitsu
@TakagiHiromitsu
そういうやり方をしたい意識の高い利用者はそうすれば良いでしょうし、その場合もサイトによってそのやり方をしない個々が選択もできるでしょう。しかし、総務省が推奨していることは、全ての利用者に対して一律に強制する方式を、サイトに推奨している(サイトが選択する)のです。
2013-12-18 19:13:15
TAKAGI, Hiromitsu
@TakagiHiromitsu
サイトで、利用者ごとに選択できるようにする話ではないことは明らかです。なぜなら、利用者に選択させるのであれば、パスワードの定期的変更は強制しなくても、選択する利用者が自らパスワードを変更すればいいことだからです。ここで想定されているのは、利用者全員に強制することです。
2013-12-18 19:15:43
TAKAGI, Hiromitsu
@TakagiHiromitsu
定期的変更でどういう効果があるのか明確に書かれていません。「リストを陳腐化する」と書かれていますが、1年間隔のパスワード変更で、何が防がれるというのでしょう?
2013-12-18 19:17:11
TAKAGI, Hiromitsu
@TakagiHiromitsu
定期的変更強制で防げる被害(A)があるといっても、1年間隔ならば、定期的変更強制しても防げない被害(B)に比べて、いかほどのものでしょうか。1:99 くらいではないでしょうか。わずか1%のために、すべての人達が不便を強いられるのです。
2013-12-18 19:48:53
TAKAGI, Hiromitsu
@TakagiHiromitsu
この文書には、他にもおかしな記述が多々見られます。 ①p.10に「情報漏洩が発生した際の対応について」という囲みがあるのですが、冒頭「リスト型攻撃により情報漏えいが発生した際には、事業者において以下の対策を取り、被害の拡大防止を図ることが重要」とあるのに、書かれていることは…
2013-12-18 20:11:22
TAKAGI, Hiromitsu
@TakagiHiromitsu
…とあるのに、書かれていることは、「情報漏えいの再発防止に向けて、再発防止策の立案と実行、継続的な調査、情報漏えいに対する責任の追求を行います。」とあり、言っていることがおかしいです。よく読むと、「情報漏えいの原因となった脆弱性の修復や通信の遮断などを行う」とあり、何の…
2013-12-18 20:18:08
TAKAGI, Hiromitsu
@TakagiHiromitsu
…何の話をしているのか混乱しているようです。(「リスト型攻撃により情報漏えいが発生した場合は」は誤りで、侵入によりパスワードリストを盗まれた場合のことが書かれています。)
2013-12-18 20:19:35
TAKAGI, Hiromitsu
@TakagiHiromitsu
「リスト型攻撃により情報漏えいが発生した場合」に事業者がどう行動すべきかは、議論の分かれるところで、業界の常識が形成されているとは言えない状況です。それなのに、ここには、「情報漏えいに関する事実関係を、漏えい情報の主体である本人に通知し、各利害関係者に開示し、監督官庁に報告を…
2013-12-18 20:21:53
TAKAGI, Hiromitsu
@TakagiHiromitsu
…監督官庁に報告を行います」などと書かれています。こんな指示は妥当なものでしょうか? リスト型攻撃の被害が出たら安全管理措置義務(個人情報保護法に準じて)違反ということでしょうか? 利用者のパスワードが脆弱だというだけで、事業者の安全管理措置義務違反だというのでしょうか?
2013-12-18 20:27:19
TAKAGI, Hiromitsu
@TakagiHiromitsu
その点で、このp.10の記述の誤りは重大な誤解を与えるもので、深刻な混乱を引き起こしかねません。
2013-12-18 20:28:00
TAKAGI, Hiromitsu
@TakagiHiromitsu
②p.9の記述も意味不明です。(ストレッチングで解析に時間を要するようになると書かれた後で)「リスト型攻撃と見られる不正ログインを検知した際には、その時間的猶予を利用して、すぐに利用者に注意喚起を行い、パスワードの変更を促すなどの対策を行うことにより、被害の拡大を防ぐことが可能…
2013-12-18 21:37:20
TAKAGI, Hiromitsu
@TakagiHiromitsu
…可能となります。」とあるのですが、リスト型攻撃が来たとわかるということは、既に大量のパスワードが解析済みであるから連続してくるわけですし、「時間的猶予がある」が意味をなすとすれば、攻撃の速度(試行頻度)が遅いときですが、そのときはリスト型攻撃と検知できないでしょう。それに、…
2013-12-18 21:47:25
TAKAGI, Hiromitsu
@TakagiHiromitsu
…それに、ここも①と同様で「リスト型攻撃と見られる不正ログインを検知した際には」は間違いで、「侵入されてパスワードを盗まれたことに気づいたときには」の話と取り違えているなら、意味が通るものです。(パスワードデータ漏えい時にソルトやストレッチングが時間稼ぎになるのはその通り。)
2013-12-18 21:52:38
TAKAGI, Hiromitsu
@TakagiHiromitsu
他にも、③「はじめに」に、「リスト型攻撃による不正アクセスの発生やそれに伴う個人情報の漏洩は、企業のコンプライアンス上問題となり、企業の信用を損ねる恐れがある」などとも書かれているのですが、こんなこと言わせといていいんですか? リスト型攻撃の被害は、利用者の責任であって、…
2013-12-18 21:58:09