「パスワード定期的に変更を」という記事に関する批判について

Akira MORI @akira_mori0120

パスワード定期変更　本日（３月１２日）の中日新聞　くらし面に　「パスワード定期的に変更を」という記事が掲載された。本当に有効なのか。紙にパスワードを書き留めておくことの危険性。セキュリティの責任はだれが取るべきか。違和感があります。 pic.twitter.com/MecavxkidU

拡大

Akira MORI @akira_mori0120

@akira_mori0120 自分で補足しておきますが。パスワードを定期的に替えることにはメリットは見出しにくく、デメリットがある。クラックした不正者は長期間に不正アクセスを続けない。ワンショットで必要なモノを手に入れたりバックドアを仕込む　　（続く

Akira MORI @akira_mori0120

@akira_mori0120 続き）　こうした不正に対して定期的なパスの変更は無意味だ。また、定期的にパスを変更しようとすると比較的簡単なパスワードが使いまわされる可能性が増える（または、パターンを生んだり）その為辞書アタックなどに弱くなる。紙にパスを控えるなどナンセンス（続く

Akira MORI @akira_mori0120

@akira_mori0120 続き）　そしてこれが最も重要だが、セキュリティを守る責任はひとえにシステム設定、管理者側になるのであって（紙にパスワードを書くなどという非常識な事をしていなければ）ユーザーにその責任を求めるのは間違っている。こうやって、新聞紙上で　（続く

Akira MORI @akira_mori0120

@akira_mori0120 続き）　こうやって新聞紙上でパスワードを定期的に替えるべきだという論陣を張り、あたかもそれがなされていない場合、不正があってもユーザーに責任があるかのような社会的コンセンサスは誤りだ。そうした意味で両論併記でもなく社会的意義にも反している記事だ。

keijitakeda @keijitakeda

@akira_mori0120 IPAは「パスワードの使い回しを避けるための適切な管理方法」の一つとして「紙のメモ」を推奨していますね。→ ipa.go.jp/about/press/20… MORIさんはパスワードをどのように管理するのが適切とお考えでしょうか。

Akira MORI @akira_mori0120

@keijitakeda そういった事を公表しない事も含めて　情報を秘匿する事でしょうね。　すでにツイートしておりますが、まずはシステム提供者側に責任はあるべきだと思います。

keijitakeda @keijitakeda

@akira_mori0120 この記事で取り上げられたケースでは２万５千件のIDパスワードを手入力してログイン可能であることを確認していましたがまだ犯行に及んでいない（被害に遭っていない）アカウントもあったようです。→ news.livedoor.com/article/detail…

keijitakeda @keijitakeda

@akira_mori0120 このケースでは４ヶ月不正アクセスが継続していたようです。→ nikkei.com/article/DGXNAS…

keijitakeda @keijitakeda

@akira_mori0120 IPAの推奨は「ナンセンス」で「非常識」ということになるでしょうか。また「ユーザーにその責任を求めるのは間違っている。」とありますが誰かが責任を求めているのでしょうか？銀行やカード業界ではユーザーの明白な過失がない限り損害を補填しているようですが。

Akira MORI @akira_mori0120

@keijitakeda ユーザー側の問題ではありませんよね。管理者側の問題です。　そしてこの場合でも　ユーザーが定期的にパスワードを変えていても意味が無かったのでしょうね。　最新のパスが抜かれていたんでしょうから。　管理者のパスについてもどうだったのか、ＢＤなら定期変更は

Akira MORI @akira_mori0120

@keijitakeda バックドアを仕込まれて　継続的に抜かれていたのなら定期変更は意味がない。　というか、パスワードを可逆的に　抜かれるってシステムそのものに脆弱性があるのでしょう。　そして、問題領域が違う事は明白では？

Akira MORI @akira_mori0120

@keijitakeda ユーザーに責任を求めるというのではなく、あたかもユーザーは定期的にパスを替えるべきであり、そのような対策をとっていないユーザーには一定程度の責任があるというような　社会的コンセンサスが生まれるのは誤りだと思います。　それはシステム提供者側に軽すぎ

keijitakeda @keijitakeda

@akira_mori0120 「ネットで知り合った中国人から６万５０００円で購入したと話しています」とありますが一度購入したパスワードを定期的に更新するサービスが提供されていたとお考えでしょうか。私は文章からはそうは読み取れませんでした。

Akira MORI @akira_mori0120

@keijitakeda そして、本質的に対策が取れない　ユーザー側に責任の加重が重すぎます。　ユーザーはあくまでシステム提供者側の環境上で運用する以外にないのですから（不正者も本質的には同様）　システム提供者がそのすべての責任の持っています。

Akira MORI @akira_mori0120

@keijitakeda 推測から何を話してもあまり意味があるように思えませんし、私の関心領域からだいぶ　ずれております。　すいません、別の適当な方をお探しください。

keijitakeda @keijitakeda

@akira_mori0120 この場合楽天にログインするIDとパスワードが不正に利用されていますがこの場合楽天のサービスにログインをした後で、楽天のサービスにバックドアを仕掛けるということになりますでしょうか？アプリレイヤーの話ですからOSのバックドアなどの話とは違う気がします

Akira MORI @akira_mori0120

@keijitakeda あくまで推測ですけど。どうも問題の本質は違うところにあると思えますがね。あくまで推測なので意味がありませんけど。

keijitakeda @keijitakeda

@akira_mori0120 「そうした意味で両論併記でもなく社会的意義にも反している記事だ。」とする根拠はあくまで推測なのですね。

Akira MORI @akira_mori0120

@keijitakeda そうではありません。　なぜ論点が異なる事を混ぜて話されるのでしょうかね。パスワード定期変更にデメリットがある事は明白です。とするなら、定期変更を一方的に勧める記事には見落としがあると言えます。記事の社会的意義は推測ではないでしょう

Akira MORI @akira_mori0120

@keijitakeda 続き）　翻って　ご提示された事例については　具体的な事情を存じませんから　そこからどのような結論を導き出そうとも、前提に推測があれば推測でしかないという事です。　この両者の相違を気を付けて扱わないと議論が混乱します。

keijitakeda @keijitakeda

@akira_mori0120 論点はこの記事が「社会的意義にも反している」か否かであり、その根拠として示された事項のいくつかが一般の事実認識と異なるご自身の推測でないかということを指摘しています。（続く）

keijitakeda @keijitakeda

@akira_mori0120 具体的には「クラックした不正者は長期間に不正アクセスを続けない。」は事実として報道されている事項と矛盾している。（推測である）。「紙にパスを控えるなどナンセンス」「非常識」→公的な団体が推奨している。（続く）

keijitakeda @keijitakeda

@akira_mori0120 「バックドアを仕込む」→この例ではWebアプリケーションのアカウントが対象なので一般的な意味でバックドアを仕込むことにはつながらない。「不正があってもユーザーに責任があるかのような社会的コンセンサス」→そのような事例の有無が不明確。（終わり）

keijitakeda @keijitakeda

@akira_mori0120 先ほど指摘したとおり「そうした意味で両論併記でもなく社会的意義にも反している記事だ。」とする根拠として示された内容の多くは一般に封じられたり理解されたりしている内容と異なる部分も多いのですがこれらはご自身の推測ではないということでしょうか？