STOP!パスワード使い回し!!について思うこと
-
hakaikosen
- 6223
- 1
- 11
- 2
-
- いいね!2
おはき゛サ゛はかいこ
@hakaikosen
しかしながら、この教義は古代においては有効であったとしても、現代においてはなんら有益でなく、ましてや現代を生きるユーザエージェントにとっては、適切なパスワード管理のために無視されるべき害悪とみなされていることは、ここまで述べてきた通りです。
2014-10-17 22:02:31
おはき゛サ゛はかいこ
@hakaikosen
そういった害悪から目を背けて、STOP!パスワード使い回し!!を掲げるキャンペーンでブラウザのパスワードマネージャ機構の利用を提案すらしないIPAは、とても現実に目を向けた素敵な組織だと思います。
2014-10-17 22:03:27
おはき゛サ゛はかいこ
@hakaikosen
STOP!パスワード使い回し!!を掲げるキャンペーンに賛同しながら、ブラウザのパスワードマネージャの使用を抑圧する設定を平然と行っている楽天その他の企業も、素敵な企業だと思います。
2014-10-17 22:04:43
おはき゛サ゛はかいこ
@hakaikosen
もっとも、パスワードなどの比較的リスクの高い認証情報について、autocomplete=“off”を入れてしまうのは、なんとなく気持ちはわからないではないなと思います。僕はそこは現実解として許容します。モダンなブラウザにとっては何の意味もない記述なので、ゴミだと思いますが。
2014-10-17 22:08:41
おはき゛サ゛はかいこ
@hakaikosen
オートコンプリートを無効にしろって言ってくるセキュリティ担当者を滅ぼすためにはこのような草の根の啓蒙活動を続けていくしかないと思っています。
2014-10-17 22:10:29ご意見など
PCI DSSと脆弱性スキャンとの関連
cocoon
@cocoonP
言っていることは100%同意するんだけど、オートコンプリート無効にせよというのはクレカ協会のセキュリティ基準(PCI DSS)に引っ掛って認定降りなくなるのよねえ togetter.com/li/733387#c164…
2014-10-18 22:42:28RTここから
yousukezan
@yousukezan
autocomplete=“off”とかURLバーが表示されているかどうかで指摘するところってあるのか。TRACEメソッドは情報として教えていたような。
2014-07-06 07:53:50
北河拓士🔰
@kitagawa_takuji
@yousukezan QualysやNessusなどの商用スキャナーが脆弱性として検出するので、その結果をそのまま使っている業者は指摘すると思います。tenable.com/plugins/index.…
2014-07-06 09:57:13
やまざきkei5
@ymzkei5
@kitagawa_takuji @yousukezan もともと報告していなかったけど、前に、お客さんに「ほにゃらら社で診断したら、こういう問題点が出たんですが、なんであなたのところだと出ないの?品質大丈夫?」と言われたことがあって増やした。今だったらブラウザの対応の話で
2014-07-06 10:05:19
やまざきkei5
@ymzkei5
@ymzkei5 @kitagawa_takuji @yousukezan 今だったらブラウザの対応の話で、正々堂々と反論できるけど、当時はビミョウで。長く診断してるベンダーに限って、そういう黒歴史的な脆弱性をまだ抱えてますよね。今回のをキッカケに見直せると良いんですが…。
2014-07-06 10:09:18
北河拓士🔰
@kitagawa_takuji
@ymzkei5 @yousukezan PCIのASVじゃないので良くわからないのですが、autocomplete=offにしないとPCI DSSの「6.5.3 安全でない暗号化保存」に引っ掛るという事情もあるようです。
2014-07-06 10:13:07
やまざきkei5
@ymzkei5
@kitagawa_takuji @yousukezan なるほどー。これはサーバ側の話に限ってないんですかね。こういう文書に書かれちゃうとしばらく亡霊のこりそうですね。パスワードの定期変更みたいだ。
2014-07-06 10:21:05
北河拓士🔰
@kitagawa_takuji
@ymzkei5 @yousukezan PCI DSSの要件にあるため、脆弱性スキャナーがPCIの認定を取るためには脆弱性として検出しなければならない。->脆弱性スキャナーの結果をそのまま使用している業者がPCI DSSの取得とは関係なしに脆弱性として指摘。という悪循環ですね。
2014-07-06 10:32:48RTここまで
おはき゛サ゛はかいこ
@hakaikosen
PCI DSSは知らない分野だったのでありがたいです。ぱっと見、要件の拡大解釈が過ぎると個人的には思いますが、業務的に誰にも緩められないのは推察できます。そういうのをなんとかしたいんですけどねえ。 togetter.com/li/733387#c164…
2014-10-18 23:11:52現在のブラウザのパスワードマネージャは脆弱ではないか?
北河拓士🔰
@kitagawa_takuji
. @hakaikosen ブラウザに保存されたパスワードは、このあたりのツール nirsoft.net/password_recov… を使えば平文で取り出すことが可能です。Firefoxではマスターパスワードが設定できますが、既定では無効になっています。
2014-10-20 15:51:59
北河拓士🔰
@kitagawa_takuji
. @hakaikosen PCがマルウェアに感染した場合、パスワードが流出する可能性があります。一方、パスワード管理ソフトは殆どがマスターパスワードが必須になっています。IPAがブラウザにパスワードを保存することを推奨していない理由は、このあたりにあるのではないでしょうか?
2014-10-20 15:53:47
おはき゛サ゛はかいこ
@hakaikosen
.@kitagawa_takuji 確かに、マルウェア感染にはとても脆弱ですね。他の3案はそれぞれマルウェアからはアクセスできないようになっているし、マスターパスワードのないパスワードマネージャを推奨することはできないですね。すごく納得しました。
2014-10-20 19:35:14スタンス的に提示できない説
おはき゛サ゛はかいこ
@hakaikosen
そもそも、日頃からオートコンプリートを利用者側で無効化することを推奨している団体なので、オートコンプリート有効を前提とするブラウザのパスワードマネージャについて触れることはできないという初歩的なロジックに気付いてしまっています。
2014-10-20 19:36:34