定期的なパスワード変更は有効な施策なのか?
@ntsuji 任意のタイミングですから「そうだ!パスワードを変更しよう!」も含まれると思います。それを決められた期間内のどこかでするということだと思います。実際にはそろそろ変更してねとかいうメッセージに促されて対応するようなことが多いかとは思いますが。
2014-09-04 19:58:55パスワードの定期変更に対して有効期限という考え方があります。これはシステム上有効期限を設定するという形で実装される場合がありますのでより強制力をもつ可能性が生じます。
2014-09-04 20:03:38@TakaNojiri 例えばどんなパスワードをつけるでしょうか。変更なしの場合とありの場合(3世代)ぐらい例をあげてみてください。英大小文字+数字8桁以上の条件で。
2014-09-04 20:17:46@TakaNojiri ありがとうございます。では"hsr74F3Jt"が覚えられるわけですからこの後ろに連番をつける hsr74F3Jt1 → hsr74F3Jt2 → hsr74F3Jt3 (あるいは間にあるいずれかの数字を増加させる)というのはいかがでしょうか。
2014-09-04 20:48:49@TakaNojiri 実際にそういったこともありそうですね。ただオンラインシステムで一定の試行回数でアカウントロック等対策をすれば英単語+数字大文字小文字混合だと攻撃者がそれを特定し攻撃するのはそれほど容易でもないのではないでしょうか。
2014-09-04 20:59:35@TakaNojiri hsr74F3Jt一つの場合、公衆端末やWifiで抜かれこれが流通した場合永続的にアクセスされますが hsr74F3Jt1 → hsr74F3Jt2 → ... で90日毎に変更していた場合に hsr74F3Jt1 は最長90日間しかアクセスできません。
2014-09-04 21:08:01@TakaNojiri サービスはSSL通信を提供しているが利用端末がウイルス感染、公衆端末にキーロガーが設けられているケース、利用者がSSLの通信を確認しないでフィッシングにひっかかってしまうケース、公衆WifiでMITMまたはフィッシングといったケースを想定しましょう。
2014-09-04 21:21:05@TakaNojiri では hsr74F3Jt 一つの場合、サーバー脆弱性で「hsr74F3Jt」が抜かれ流通した場合永続的にアクセスされますが hsr74F3Jt1 → hsr74F3Jt2 → ... で90日毎に変更していた場合最長90日間しかアクセスできません。
2014-09-04 21:34:26定期変更を要求したら弱いパスワードをつける人が、定期変更なしの場合には強いパスワードをつけると思う理由がよくわからない。どちらにしても弱いパスワードをつけるのではないだろうか。
2014-09-04 21:40:49@TakaNojiri 「抜かれた場合は即座に悪用される」は必ずそうなるのでしょうか?パスワードリストとして販売されそれを購入した人物が攻撃に利用するというケースもたびたび確認されており、その場合「数十日後にpassが変わっても手遅れ」ということもないと思いますが。
2014-09-04 21:58:52@TakaNojiri 同じサービスが定期変更を要求しない場合には辞書攻撃でクラックされないでしょうか。同じポリシーで運用している以上被害は発生するのではないかと思います。そこで被害に遭わない人が定期変更を要求した場合には被害に遭うようになるとは考えにくいのですが、、、。
2014-09-04 22:04:41@TakaNojiri 定期変更なしの場合は「hsr74F3Jt 」をつけるユーザーが定期変更を求めたらは「Example1」をつけたるようになるのでしょうか?「Example1」をつける人は定期変更なしでも「Example1」のようなものをつけるのではないでしょうか?
2014-09-04 22:13:29定期変更なしだと「hsr74F3Jt 」をつけるユーザーが定期変更求めたら「Example1」をつけるようにになるのかな。「hsr74F3Jt1」にしましょうというのは成立しないのかな。仮に「Example1」でも結構派手にリバースブルートフォースしないと攻略できないような。
2014-09-04 22:22:52そうなります。ぶっちゃけると自分の場合、職場のActive Directoryのパスワードは、個人用PCより遙かに単純です RT @keijitakeda: 定期変更なしだと「hsr74F3Jt 」をつけるユーザーが定期変更求めたら「Example1」をつけるようにになるのかな。
2014-09-04 22:51:39@nut320 それは職場の環境では「Example1」でも大丈夫と思っているからではないでしょうか。おそらく個人用PCは外に持ち出したり盗難に遭うことも想定しているのではないでしょうか。個人用PCで定期変更するとしても同じことが起こるでしょうか?
2014-09-04 23:05:14@ntsuji その間に漏洩したパスワード(サーバー側、クライアント側のいずれの場合も)が転売等されてパスワードリストなどの形で誰かに購入されて実際に悪用されるような場合に、その一定期間以後は悪用不可となりリスクを低減できると考えられるかと思います。
2014-09-04 23:08:33@keijitakeda デスクトップなので持ち出しは想定していませんが、個人用なので強固なパスワードをつけています。ただ、職場用のパスワード同士を比べても、当初設定していたものより今のほうが単純です。理由は複数ありますが、変えすぎて覚えていられないというのもその一つです。
2014-09-04 23:11:52@keijitakeda 理想的なシングル・サインオン環境であればまだましですが、残念ながら自分の場合、仕事に関わるだけでも複数のパスワードが必要な環境です。それぞれで2~3ヶ月程度での変更を求められるので、パターン化するしかないのです。
2014-09-04 23:16:05@keijitakeda オンラインサービスにおいて、漏洩元とリスト型攻撃の攻撃先が同じということを想定されているのですね。短期的に考えた場合、ポイント被害などが発生し変更前に犯行が終わる場合も考えられますね。
2014-09-04 23:16:35@keijitakeda そうすると保護できる場合と保護できない場合があると思います。どこで変更するかによって効果が大きく変わります。その程度であるならばユーザの負担をこれ以上増やさず、サービス提供側がいち早く気付く仕組みを導入するほうが現実的ではないでしょうか。
2014-09-04 23:16:53@ntsuji その通りだと思いますが、何が現実的かはサービスや扱う情報の内容、ユーザーのタイプや利用形態によって変わることもあるかと思います。そこでなんらかのサービスが定期変更を奨励している場合においてそのことを客観的に否定できるのかというのが私の問題意識です。
2014-09-04 23:31:03@nut320 企業内のシステムと一般的なWeb上でのサービスで条件が違ってくるかなという気がします。後者で定期変更なしだと強いパスワードをつけようとする意識(知識)のある人が定期変更ありになると弱いパスワードをつけようとしてしまうというのが良くわかりません。
2014-09-04 23:39:37@keijitakeda 企業内同士、Webサービス同士なら、定期変更がある方が弱くなるだろうと思います。それこそ、武田先生のよくおっしゃる「セキュリティのコスト」ではないですか?定期変更のコストがかかるなら、難易度を下げることでパスワード全体のコストを下げるんです。
2014-09-04 23:49:38