-
- いいね!48
辻 伸弘 (nobuhiro tsuji)
@ntsuji
ここのアンケート好きなんですよね。色々考えさせられるんです。 / パスワード管理と認証に関する調査。ID&PWの管理、男性は「記憶」女性は「紙にメモ」。|リサーチバンク(続く
2014-09-07 22:58:28
タモ<ハザードマップを確認しましょう>💉x5
@tamosan
パスワード管理と認証に関する調査。ID&PWの管理、男性は「記憶」女性は「紙にメモ」。 - リサーチバンク - 自主アンケート・調査結果レポート research.lifemedia.jp/2014/04/140423… #lifemedia
2014-09-07 23:04:07
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)まずはQ1。パスワードの管理方法。以外と紙にメモしている人が多い。次いで記憶でなんとかしようとしている人が多いんですね。ファイルで何かしらのデバイスに保存している人も少し間を開けて多いと。(続く
2014-09-07 22:58:36
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)予想通り、パスワード管理ソフトを使っている人はまだまだ少ない。色々な方とお話をしてもその存在もあまり認知されていないという印象をボクは持っています。(続く
2014-09-07 22:58:43
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)Q1の結果から言えることは、内容がアップデートされることへの耐性が弱いと考えられる方法が現在の主流となっているということでしょうか。個人的にはパスワード管理ソフトを使っていますがそれでもイヤですが。(続く
2014-09-07 22:58:48
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)次にQ2。ここでは使い回しのことを聞いていますが、一切の使い回しがないと回答した方は全体で12.8%。それ以外の方はリスト型攻撃の被害に遭う可能性が使い回しの数に応じて起こりうるということが言えるでしょうか。リスト型の被害が後を絶たないことがここからもうかがえます。(続く
2014-09-07 22:58:57
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)次にQ3。パスワードの長さに対するアンケート。全体で8文字以上のものを設定している方は全体で75.6%。単純なブルートフォースには耐性はあると言ってもいいと思います。しかし、ここでは長さについての質問ですので(続く
2014-09-07 22:59:03
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)単純な文字列を設定しているかどうかは問われていません。ですので辞書攻撃に対する耐性やリバース型の攻撃への耐性は計ることはできませんね。8文字でもpasswordという文字列を設定していては耐性は弱いと言えますので。(続く
2014-09-07 22:59:15
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)次にQ4。パスワードに使用する文字種に関するアンケート。文字種だと「数字」「英小文字」「英大文字」「記号」とあるのですが2種類の文字種を利用している方が全体で74.4%。ここの質問では使用文字種まで聞いていないので判断が付かないのですが(続く
2014-09-07 22:59:24
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)セキュリティ診断でパスワードをクラックしてきた経験を踏まえると「英小文字+数字」や一文字目だけ「英大文字」としてあとは「英小文字」というものが多いのでは?と思ってしまいます。「Password」とか「ntsuji0123」のような。答えは出ませんがあくまで推測として。(続く
2014-09-07 22:59:46
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)次にQ5。パスワードの変更頻度に対するアンケート。割とばらけているのですが変更しない方は全体で31.9%。次いでアラートなど警告がでたらという方が全体で30.6%。(続く
2014-09-07 22:59:54
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)このアラートなどというのはもしかすると漏洩の可能性があるので変えてくださいというのも含まれるかもしれませんね。あと、●日以上変更がありませんと変更を促すものや変更を強制するものも含まれるかもしれません。(続く
2014-09-07 23:00:04
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)少なくとも37.5%の方はある一定の期間内に変更をしているということになります。アラートが出たらという方の詳細な内訳次第ではこの割合は増える可能性は大いにあると思います。紙や記憶で管理している方が多い中アップデートは大変そうだと感じます。(続く
2014-09-07 23:00:11
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)そして、使い回していない方が12.8%となるのは、ここにも関係しているのではないかとボクは思ってしまいます。確固たる根拠とはなりませんが。(続く
2014-09-07 23:00:19
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)次にQ6。リスト型攻撃を知っているか。知っていたらどのようなアクションをしたかというアンケート。何らかの自衛策(おそらく使い回しをなくす。や、減らすなど)を講じた方は全体で9.3%。見聞きして自衛策を取っていない方は全体で63.9%。(続く
2014-09-07 23:00:27
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)見聞きしていないという方が全体で26.9%いらっしゃいますが、可能性は低いと考えられますが、アクションについては触れておらず、元々何かしていた可能性もゼロではないので含めていません。アクション次第では自衛策を取っていない割合の増加に繋がります。(続く
2014-09-07 23:00:34
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)さて、被害に遭わないための訴求内容として「強固なパスワードを設定する」「使い回しをしない」「定期的(一定期間内)に変更する」がよく目にするものかと思います。(続く
2014-09-07 23:00:44
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)これまでのアンケート結果を踏まえると強固なパスワードと言える要素の1つである文字数に関してはそこそこ良い感じになってきているのかもということがうかがえます。ただし、使用文字種の内訳までは言及されておらず疑問が残るため(続く
2014-09-07 23:00:50
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)単純なブルートフォースには耐性はついてきているが、辞書攻撃およびリバース型攻撃には耐性のない文字列を設定している方が存在するということが言えるのかと思います。複雑な文字列をという訴求を続けていく必要がありそうですね。(続く
2014-09-07 23:00:58
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)「使い回し」をしないということについては残念な結果。しかし、これはリスト型攻撃の被害を見ているとかなり対策の優先度が高いものであると言えます。設定している文字列についてはもうちょっと頑張ってもらって、使い回しに関してはかなり頑張っていただかないといけません。(続く
2014-09-07 23:01:38
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)設定している文字列についてはもうちょっと頑張ってもらって、使い回しに関してはかなり頑張っていただかないといけません。しかし、多くの管理方法は紙と記憶なわけです。ここでパスワード管理ソフトを使うんだ!というのは安全の押し付け。セキュリティ原理主義。(続く
2014-09-07 23:01:48
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)もちろん、できる方はやったほしいとは思っていますし、ボクも管理ソフトは使っています。でも、そんなことをしたら「できないもん!」「面倒だもん!」で終了する恐れがあるんですよね。それについてはリスクベース/二段階認証を使いたくない理由のQ10が参考になると思います。(続く
2014-09-07 23:01:56
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)被害に遭わないようにする策としては、「使い回しをしない」が最優先、それに近いレベルで「強固なパスワード」を設定していただく必要があります。そこに「定期的な変更」を同列に扱うことはやはり無理難題を強いることになります。ましてや紙と記憶では。(続く
2014-09-07 23:02:03
辻 伸弘 (nobuhiro tsuji)
@ntsuji
続き)今、対策を自衛行わなければならない方にこれら三つを同列に扱って伝えると対策が進まないのではないでしょうか。「定期的な変更」は他の2つを実現する上で阻害要因となりますし、その効果が労力に見合わないと考えられます。(続く
2014-09-07 23:02:10