武田先生とボクのパスワードの定期変更に関するやり取りメモ
-
- いいね!115
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@keijitakeda 定期変更を要求されるとなぜユーザが弱いパスワードを使い続ける事ができなくなるのですか?覚えられない状況を作られてしまったらユーザは覚えられるような簡単なものを設定し続け、それを複数のサービスでとなると思うのですが。
2013-12-21 22:53:15
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@keijitakeda 楽天ポイントの件でいうとこれがどこかから漏れたものを使っているのであれば、定期変更ではなく、使い回しをやめることで防げていた可能性が高いのではないでしょうか。
2013-12-21 22:53:36
keijitakeda
@keijitakeda
@ntsuji 例えば1期目にpassword を使ったら2期目にpasswordは使えなくなるということです。一方定期更新がない場合はずっと passwordを設定したままにしておくことが可能です。
2013-12-21 22:55:00
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@keijitakeda 何かしらの脆弱性を利用して盗まれたパスワードであればオンラインクラックではなくオフラインクラックへの耐性となるため後者のほうが比較にならないくらい複雑性の効果は下がると思います。
2013-12-21 23:04:22
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@keijitakeda もちろんオフラインクラックではそのパスワードがどのように扱われているか(ハッシュやストレッチングなど)がその耐性を決めるわけですが。
2013-12-21 23:04:38
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@keijitakeda 1期目に使ったらものが2期目に使えないというのは世代(履歴)管理をされているということですね。この場合ユーザは弱いパスワードを設定し続ける工夫をする場合があると思います。別の弱いパスワード、最後の数字のみを変更、管理されている世代分範囲でループするなど。
2013-12-21 23:05:46
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@keijitakeda こんなストレートな質問が来るとは思っていませんでした。ちょっと驚きました。
2013-12-21 23:08:16
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@keijitakeda それを考えるのがボクたちの役目だと思っています。パスワード管理ソフトを勧めることも1つだとは思いますがすべての人が使いこなせるわけではありません。その場合は、手帳に記載するというのも1つの方法だと思っています。
2013-12-21 23:08:28
keijitakeda
@keijitakeda
@ntsuji サーバーでパスワードがハッシュされている場合と両方の場合がありますね。じゃあハッシュしろといっても他の事業者から漏洩するリスクは制御できない。またそれ以外の先にあげたリスクではパスワードが生で漏洩しますね。
2013-12-21 23:09:34
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@keijitakeda どこにあるものをどこからのどういった脅威から守るのかを考えそれを地道に伝えていくことが大切だと今は思っています。それでも完全になくならないかもしれません。でも、やらないといけない。その中でユーザにできるだけ負担をかけないようにすることも大事だと思います。
2013-12-21 23:10:38
keijitakeda
@keijitakeda
@ntsuji そんなにたくさんの弱いパスワードでループできる人は結構凄いのではないかと思ってしまいます。実質的に最後の数字のみを変更に近いようなものが多いと思いますがそれで被害にあった例とかもあるものなのでしょうか。あまり聞いたことがないので。
2013-12-21 23:12:04
keijitakeda
@keijitakeda
@ntsuji なので私はなくならない前提も含めた対策の話をしているつもりです。「使い回しをしなければいいでしょ。終わり。」では済まないと思っています。
2013-12-21 23:13:55
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@gorn @keijitakeda ワンタイムで保護することは有効だと思います。ただ、すぐにすべてのサービスでということも難しいと思うので、そこはユーザも当事者意識を持って強固なパスワードを設定することや使い回しをやめることでセキュリティの一旦を担う必要があるのかと思います。
2013-12-21 23:15:14
keijitakeda
@keijitakeda
@ntsuji そうですね。その点は同意します。強制的にパスワードを異なるものとするためにパスワード数桁を指定してしまう方法も考えました。ユーザーはいやでしょうけども。簡易な二要素認証と捉えることもできると思います。
2013-12-21 23:15:24
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@keijitakeda ちょっと話が見えなくなってきたので確認したいのですが、使い回しがなくならない前提としての対策というのは定期変更をユーザにさせることでしょうか。武田さんは定期変更をさせることに対しては反対ということでいいんですよね?
2013-12-21 23:20:39
keijitakeda
@keijitakeda
@ntsuji 私は推奨として示すことは反対ですが、役に立つと思う事業者がいるなら適用もありだと思っています。絶対駄目とは思っていません。ただ皆さんが強固に反対するようなことならそれを理解しそういった文書等から排除するといったこともすべきかとは思っています。
2013-12-21 23:25:35
keijitakeda
@keijitakeda
@ntsuji 自分の中でこういう場面で有効だよねと思っているのでそれを打ち消す何かがあれば考えを改めたいと思っています。コストとメリットが見合わないよねという話であればそれは事業者やそのユーザーによって変わる話なので一律に縛れないかなと。
2013-12-21 23:27:08
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@keijitakeda 過ぎたことなので今更言っても仕方ないのだと思うのですが、それをあの文書に反映していただきたかったと思いました。
2013-12-21 23:32:01
keijitakeda
@keijitakeda
@ntsuji 今から反映するつもりなのでいろいろとご意見をうかがっているつもりなのです。もちろん実際にそれが可能かはわかりませんが。
2013-12-21 23:33:53
keijitakeda
@keijitakeda
@ntsuji 私は推奨しないけど必要と思うならメリットデメリット良く考えて使ってね(ただしなるべく注意喚起程度に留める)というスタンスですが、それで良ければ反映できるよう努めます。その他諸々おかしな箇所があるのはいずれにしても修正してもらわねばと思っています。
2013-12-21 23:47:03
keijitakeda
@keijitakeda
@ntsuji 十分な説得材料があれば定期変更すべきでないとすることも考えています。ただ自分自身がそこまでまだ説得されないので現状は選択肢の一つとして留保という感じです。またぜひお考えをお聞かせください。今日は遅くまでありがとうございました。
2013-12-21 23:56:08