パスワードの定期的変更について徳丸さんに本当に聞いてみた
- keijitakeda
- 13584
- 0
- 25
- 19
@ockeghem もし宜しければお暇なときにでもお考えをお聞かせください。 twitter.com/keijitakeda/st… twitter.com/keijitakeda/st… twitter.com/keijitakeda/st… twitter.com/keijitakeda/st…
2014-10-17 00:13:00「サイト毎に異なるパスワードを設定しておけば、(略)パスワードリスト攻撃に関しては完全に防御することができます。」 → サイトAから窃取したアカウント情報を用いてサイトAを攻撃するケースを防御することができません。 blog.tokumaru.org/2014/10/blog-p…
2014-10-16 22:09:04「パスワードはできれば12文字以上で、できるだけ長く設定する」の根拠としてサイト側でパスワードがソルトハッシュ等で管理されていることが前提となるが現実には平文や復元可能な形で保存されていることも多く一律に適用する根拠としては希薄 blog.tokumaru.org/2013/08/2.html…
2014-10-16 22:27:31桁数が効力を発揮する前提としてソルトハッシュ等されたパスワードファイルが攻撃者に入手されることが前提となるが、同じ条件で平文パスワードであれば桁数に関わらず被害に直結する。利用者はサイト側のパスワードの管理状態を知ることができず対策が効力を発生する条件は極めて限定的。
2014-10-16 22:34:39「以下の3条件を満たす場合、パスワードの定期的変更が意味がある可能性があります。」の条件は極めて限定的との認識が広まっているようだが実際には極めて一般的な条件である。 blog.tokumaru.org/2013/08/2.html…
2014-10-16 22:29:05パスワードリスト攻撃が発生した際にサイト毎異なるパスワードを設定しても漏洩元サービスに対する攻撃を防御できないことについて
このエントリでは、パスワードの定期的変更がパスワードリスト攻撃に対してどの程度有効かを検討してみます。
前提条件
パスワードリスト攻撃を以下のように定義します。
別のサイトから漏洩したアカウント情報(ログインIDとパスワードの組み合わせ)の一覧表(パスワードリスト)があり、そのログインIDとパスワードの組をそのまま、攻撃対象に対してログイン試行する攻撃
いったんサイト毎に異なるパスワードを設定しておけば、その後はパスワードを変更しなくても、パスワードリスト攻撃に関しては完全に防御することができます。
「サイト毎に異なるパスワードを設定しておけば、(略)パスワードリスト攻撃に関しては完全に防御することができます。」 → サイトAから窃取したアカウント情報を用いてサイトAを攻撃するケースを防御することができません。 blog.tokumaru.org/2014/10/blog-p…
2014-10-16 22:09:04@keijitakeda もうひとつ言えば、私の定義では、同一サイトの場合はパスワード攻撃には含まれないという認識でした。そのような意見の差異が生じる可能性がありますので、(私の)パスワードリストの定義を示しました
2014-10-17 00:26:21僕の認識では、パスワードリスト攻撃とは、サイト側に落ち度はないのに他のサイトの脆弱性や、利用者のパスワード使い回しによっておこる不正ログインを指すという認識です。サイトAから漏洩したしたリストによってサイトAが攻撃される例もあり得るでしょうが、それはまず脆弱性対策をしろと言いたい
2014-10-17 00:31:30サイトAの脆弱性によって漏れたリストによってサイトAが攻撃されるかもしれないから、利用者が自衛のためにパスワードを定期的に変更するのはいいですよ。サイト側が *その対策のために* パスワードの有効期限を定めて強制的にパスワードを変更させるとしたら、冗談もいい加減にしろと言いたい
2014-10-17 00:33:50@ockeghem ありがとうございます。「そのような意見の差異が生じる可能性」を考慮した上で「サイトAから窃取したアカウント情報を用いてサイトAを攻撃するケースを防御することができない」ことについては言及しなくて良いと考えられたということでしょうか。
2014-10-17 00:37:28@keijitakeda しかし、パスワードの定期的変更はパスワードリスト攻撃に有効な場合もある・・・という先生の言葉が今ようやく理解出来ました。
2014-10-17 00:44:35@ockeghem 徳丸さんの定義ではそうかもしれませんが事象としては同一でその際に実際に被害が発生し得ますよね。また過去の事例でみれば対象サービスを明示した上でパスワードリストが流通することは珍しいことではありません。私にはとても重要な考慮すべき事項のように思われます。
2014-10-17 00:46:52@keijitakeda 考慮すべき事項ではあるが、それはパスワードリスト攻撃ではなく、それはぞれで別個の検討が必要だと考えます。それに、「パスワードリスト攻撃を受けました。パスワードのヒット率は85%でした」というようなリリースは見たことがありませんが
2014-10-17 00:51:05@ockeghem パスワードが売買等一定の時間を経て流通するという意味で同じ事象なので私は区別する必要もないと思っていました。またアカウントの有効性を確認したリストが流通しているようなので理論上100%とかもあり得ますが事例としては確認されていないですね。
2014-10-17 01:15:08パスワード推奨桁数の根拠となる条件が限定的であることについて
「パスワードはできれば12文字以上で、できるだけ長く設定する」の根拠としてサイト側でパスワードがソルトハッシュ等で管理されていることが前提となるが現実には平文や復元可能な形で保存されていることも多く一律に適用する根拠としては希薄 blog.tokumaru.org/2013/08/2.html…
2014-10-16 22:27:31桁数が効力を発揮する前提としてソルトハッシュ等されたパスワードファイルが攻撃者に入手されることが前提となるが、同じ条件で平文パスワードであれば桁数に関わらず被害に直結する。利用者はサイト側のパスワードの管理状態を知ることができず対策が効力を発生する条件は極めて限定的。
2014-10-16 22:34:39@keijitakeda ご指摘の通りで、ここはまとめですので、パスワードの定期的変更を離れて、広く一般的な施策を述べたつもりです
2014-10-17 00:18:17@ockeghem これについて「利用者の負担が大きく、かつ効果が限定的であるという点で、よくない施策」はあてはまらないのでしょうか。 blog.tokumaru.org/2014/10/blog-p…
2014-10-17 01:21:03@keijitakeda パスワードは12文字以上で…というくだりが、利用者の負担が大きく、かつ効果が限定的であるという点で、よくない施策」ではないかという指摘でしょうか?
2014-10-17 01:23:06@ockeghem 私がそう思うわけではありませんが、ご自身で書かれている定義に合致し得るように思われました。
2014-10-17 01:24:18