武田先生と徳丸の対話: 某サイトから漏洩したパスワードがAmazonに対して悪用されなかった事例からどこまでのことが言えるか

備忘のためまとめました。 同意事項として、『「パスワードは漏洩したらすぐに悪用される」とは限らないこと自体は自明な例を含めれば明らか』とありますが、自明な例としてあげているのは、以下のことです。 ・とあるサイトから漏洩したパスワードは、様々なサイトに対して悪用されたり、悪用されなかったりする ・しかし、世界中のすべてのサイトに対して悪用が試みられるとは考えられない、これは自明である ・従って、世界中のサイトの中には、悪用されないサイトも存在する 続きを読む
徳丸浩 武田圭史 謝ったら死ぬ病 password セキュリティ パスワード security
25
徳丸 浩 @ockeghem
興味深い。やられる前に変更できてよかった / 他17コメント b.hatena.ne.jp/entry/ascii.jp… “ASCII.jp:Amazonから「パスワード変えといた」メールが来た” htn.to/pYMDss
keijitakeda @keijitakeda
「パスワードは漏洩したらすぐに悪用される」の反例 twitter.com/ockeghem/statu…
徳丸 浩 @ockeghem
あまり意味のある反例とは思えませんが RT @keijitakeda: 「パスワードは漏洩したらすぐに悪用される」の反例 twitter.com/ockeghem/statu…
徳丸 浩 @ockeghem
これが、(1)フィッシングで漏洩した、(2)マルウェアにより漏洩した、(3)当該サイトの従業員が漏らした等であれば、「すぐに攻撃しないとは意外だ」となりますが、今回のケースはパスワードの使い回しをしていたことから他サイトからの漏洩の可能性が高いからです @keijitakeda
keijitakeda @keijitakeda
@ockeghem 使い回しているパスワードが他サイトから漏洩した場合、そのパスワードはすぐに悪用されるとはかぎらない。ということでしょうか?
徳丸 浩 @ockeghem
Amazonでは「たまたま」悪用されなかっただけで、他のサイトや目的で攻撃を試みたかもしれません RT @keijitakeda: @ockeghem 使い回しているパスワードが他サイトから漏洩した場合、そのパスワードはすぐに悪用されるとはかぎらない。ということでしょうか?
keijitakeda @keijitakeda
@ockeghem 「たまたま」であろうがなかろうがある論理が成立しないケースの存在を示すものが「反例」だと思います。
徳丸 浩 @ockeghem
サイトXから漏洩したパスワードがサイトYに対して攻撃が来なかったことが推定されるというだけのことですので、例として出すまでもなく自明ことでしょう RT @keijitakeda: @ockeghem 「たまたま」であろうがなかろうがある論理が成立しないケースの存在を示すもの
keijitakeda @keijitakeda
@ockeghem つまり「使い回しているパスワードが他サイトから漏洩した場合、そのパスワードが他のサイトに対してすぐに悪用されるとはかぎらない。」ことは自明だと考えられているということになりますでしょうか。一方漏洩元となったサイトに対してはすぐに攻撃されているとお考えでしょうか
徳丸 浩 @ockeghem
それに対しては、この事例からは「分からない」が正解かと思います RT @keijitakeda: @ockeghem つまり「使い回しているパスワードが他サイトから漏洩した場合、そのパスワードが他のサイトに対してすぐに悪用されるとはかぎらない。」ことは自明だと考えられていると…
keijitakeda @keijitakeda
@ockeghem この事例から何が言えるかという話をしているのではなく、一般論として「パスワードは漏洩したらすぐに悪用される」が成立するか(この事例がその反例となるか)という話をしていたかと思います。
徳丸 浩 @ockeghem
私は元々「この事例から何が言えるか」を話題にしています RT @keijitakeda: @ockeghem この事例から何が言えるかという話をしているのではなく、一般論として「パスワードは漏洩したらすぐに悪用される」が成立するか(この事例がその反例となるか)という話をしてい
keijitakeda @keijitakeda
@ockeghem こちらのツイートで「『パスワードは漏洩したらすぐに悪用される』の反例として意味があるとは思えない」という話をされているのかと思ってしまいましたが、ご本人が違うというのであれば違うのでしょう。失礼しました。 twitter.com/ockeghem/statu…
徳丸 浩 @ockeghem
「『パスワードは漏洩したらすぐに悪用される』の反例として意味があるとは思えない」という意見は、「この事例から何が言えるか」という話題かと思いますが RT @keijitakeda: …ご本人が違うというのであれば違うのでしょう。失礼しました。
keijitakeda @keijitakeda
@ockeghem 「『パスワードは漏洩したらすぐに悪用される』の反例として意味があるとは思えない」の理由として「サイトXから漏洩したパスワードがサイトYに対して攻撃が来なかったことが推定されるというだけのことですので、例として出すまでもなく自明」を挙げられたと認識しました。
徳丸 浩 @ockeghem
はい。「この事例は」自明でないことの例ではない(自明なことの例にすぎない)ので、「反例として意味があるとは思えない」と言いました RT @keijitakeda
keijitakeda @keijitakeda
@ockeghem そこで何が自明なのかを確認するため私は「使い回しているパスワードが他サイトから漏洩した場合、そのパスワードが他のサイトに対してすぐに悪用されるとはかぎらない。」ということが自明か?という確認をしました。
keijitakeda @keijitakeda
@ockeghem ということで「使い回しているパスワードが他サイトから漏洩した場合、そのパスワードが他のサイトに対してすぐに悪用されるとはかぎらない。」は自明でしょうか?
徳丸 浩 @ockeghem
私はそんな話はしておらず、自明とまでは言えないと思います RT @keijitakeda: @ockeghem ということで「使い回しているパスワードが他サイトから漏洩した場合、そのパスワードが他のサイトに対してすぐに悪用されるとはかぎらない。」は自明でしょうか?
keijitakeda @keijitakeda
@ockeghem では「サイトXから漏洩したパスワードがサイトYに対して攻撃が来なかったこと」は自明なのでしょうか?
徳丸 浩 @ockeghem
そうですね。「サイトXから漏洩したパスワードを用いてサイトYに対して攻撃が来ない場合がある」は自明と言ってよいかと思います RT @keijitakeda: @ockeghem では「サイトXから漏洩したパスワードがサイトYに対して攻撃が来なかったこと」は自明なのでしょうか?
keijitakeda @keijitakeda
@ockeghem では「他サイトから漏洩パスワードを用いて漏洩元とは別のサイトに対して攻撃が来ない場合がある。」は自明でしょうか?
徳丸 浩 @ockeghem
@keijitakeda 違う話題になってませんか?
徳丸 浩 @ockeghem
まぁ、あるかないかで言えば、「攻撃が来ない場合もある」でしょうね。パスワードが目的でなかったケースとか RT @keijitakeda: @ockeghem では「他サイトから漏洩パスワードを用いて漏洩元とは別のサイトに対して攻撃が来ない場合がある。」は自明でしょうか?
残りを読む(59)

コメント

徳丸 浩 @ockeghem 2016年8月21日
編集履歴: 武田先生からの依頼により、2016-08-20 22:20:34の武田先生の発言をまとめに加えました
klein-2 @klein2_def 2016年8月21日
徳丸先生の言いたいことは、「パスワードは漏洩したらすぐに悪用される」の反例が(他のサイトでパスワードリスト攻撃で利用されるリスクについて)あったとしても、パスワード定期変更の有効性は増えないってことですよね。
klein-2 @klein2_def 2016年8月21日
当然ですが、パスワードリスト攻撃のリスクを低減するには、「パスワードの使いまわし」をやめることであって、「どこかのサイトで使ったパスワードが漏えいしていて、時間差でパスワードリスト攻撃で使われることがあるから定期的にパスワードを変更する」ではないです。
しりうす @SiriusArc7 2016年8月21日
日本語のお勉強をしてる気分になる。
シン・ヤヴィノ @imp_lightning 2016年8月21日
徳丸さんの相手のセンセ。前はプロフィールに慶応とかあった気がしたけど今ないね。 教わる子らのなかにも腹の中で舌出しながら迎合してる醒めた子いるだろうなあ。
dollars @dollars_ 2016年8月21日
定期変更といえばこの御仁。という風格があるな。ここまで引っ張ってマトモな知見となる結論が何ら変わらないところもまたお家芸。徳丸センセお疲れ様でした。
keijitakeda @keijitakeda 2016年8月21日
私はTwitterのプロフィールに所属組織の名称を書いていたことはないが、このようにして虚偽の情報を流布しようとする人がいる。「パスワードの定期変更は意味がない」という主張する(していた)人も同じ。
シン・ヤヴィノ @imp_lightning 2016年8月21日
おやおや、それは私の勘違いで申し訳ありません、 ですが通りすがりの私の馬鹿な真似を議論の相手になすりつけると、貴方様の株が また下がってはしまいませんか?
keijitakeda @keijitakeda 2016年8月21日
徳丸さんは「『大抵のケースで(定期変更の)効果がないことはない』とも言える。」「定期的変更の目的(効果)は、知らないうちに漏れたパスワードを無効化すること」「漏洩したらすぐに悪用されるとは限らない。」と言っているが、昔の記事に影響された人たちは頭を切り替えることができないでいる。
mkr @Hurusinbun 2016年8月22日
このAmazonからのお知らせ、「あなたのメアドとパスらしきものの組み合わせがネット上に晒されてた」というだけで、それがAmazonのパスかどうかは確言してないんですよね。それがどんな組み合わせかも言ってない。
mkr @Hurusinbun 2016年8月22日
このお知らせ来たら、Amazon以外でもそのメアドを利用してログインしてるとこはすべてパス変えとかなきゃあかん、ってなるような気がする。それともAmazonだけ変えときゃいいんだろうか。
でき @dekijp 2016年8月22日
いい加減、パスワードマネージャーが標準にならないと対処できなくなってる。Webサイト、セキュリティはパスワードマネージャーを前提に作るべきだし、更新を要求するなら、パスワードマネージャーが勝手に更新するようにしてほしい。
麻宮 眠夢 @m_nemu 2016年8月22日
「気がしたけど」と書いてあるのを「虚偽の情報を流布」って言い募ってくるような読解力が、この議論が続く源泉だよね。。。
keijitakeda @keijitakeda 2016年8月22日
未確認の情報に対して「気がしたけど」などの言い訳をつけて書くのは「虚偽の情報を流布」する際の常套手段ですね。
闇のおにくやさん @nomoreunk 2016年8月22日
ちょっと(?)disられたからってコメント欄でファビョらなくてもいいのよ・・・?
あえとす 9/16 和光市ボドゲ会 @aetos382 2016年8月23日
論理的に白黒つけたいだけなんだな、って気がした。そこに何の実利もなかったとしても。
あえとす 9/16 和光市ボドゲ会 @aetos382 2016年8月23日
「漏洩したからといってすぐに攻撃させるとは限らない」とか「パスワードを定期的に変更すべきかどうかはケースバイケース」とか、一生そんなフワフワしたこと言ってればいいんじゃないの、としか。
keijitakeda @keijitakeda 2016年8月23日
論理的に白黒つけたいと思っていますよ。論理的でないフワフワしたことは大学で教えられないので。
しりうす @SiriusArc7 2016年8月23日
一日以上にわたってグダグダと言葉の綾を期待した問をかけられ続けるのは時間をものすごい浪費しそうなのでこういう人と関わりを持っていないことを幸せに思う
徳丸 浩 @ockeghem 2016年8月23日
2016/8/23 8:28 追加の対話を追加しました
NUREHA @NUREHA 2016年8月23日
極力コンテキストを排除しようと頑張るんだけど、結局どこまでいっても自分というコンテキストを排除できないでいるので自己満足にしかならない、という悪い見本として捉えた(個人の感想です)
pochi-p★ニャーニャーなく猫 @pochi_p 2016年8月23日
本来すべきは「定期的変更に頼るしかない&それで十分な効果がある」ケースの明確化と、「定期的変更に頼るべきでないケースで頼ろうとしない」事の徹底なんだけどね…。人に絡むより明確化頑張ろう。
Cereza @Lucifer_ps 2016年8月23日
某銀行で少なくとも1日1回以上パスワード変更するよう推奨していたが、出来れば1時間に1回以上変えた方がいいな。寝ている時間帯はアメリカ大陸が昼間なのでスクリプトで変え続けよう!(安心感)
みけたす(WGFC-はいご) @mikechi3 2016年8月23日
大学教授って楽なんだなあ、ぼくがかんがえたさいきょうのぱすわーどてつがくを一方的に訴えるだけでいいなんで。論理的に白黒つけるってんなら、他人の言葉尻捉えて話そらすような事せずに、自分の理論の正当性に論拠を置いて他人の指摘に応えろと。
葉山一郎 @yzfr13 2016年8月24日
mikechi3 この件はTwitterで目立つし衆目を集める内容なのでこうした話題になりますが、大学教授には傍流となった持論(すでに学会で否定されていても)を延々学生に説き聞かせる続けているような人ゴロゴロいますよ…。
keijitakeda @keijitakeda 2016年8月24日
ほとんどの大学は学生にパスワードの定期的な変更の効果を説明してそれを要求してるんですよね。(私はその必要はないと思っていますが。)
葉山一郎 @yzfr13 2016年8月24日
keijitakeda 先生、その効果は評価に値するもので要求も妥当とお考えでしょうか。そうでないとすると先生はどのようにそれに向き合っていらっしゃいますか。(興味からの質問で恐縮です)
keijitakeda @keijitakeda 2016年8月24日
@yzfr13 さん。上にも書きましたが個人的には強制は不要と思っています。強制を伴なわない推奨はしても良いかと思います。効果については学生間でのパスワードの盗み見や共用端末等の使用もありますからそれなりの効果、数千名規模のキャンパスで年1〜2件の悪用を防止する程度の効果はあるかと思います。他にも毎年卒業生やら転出等もあるでしょうからそういうアカウントの管理という運用上の側面もあるかと思います。 私個人は上記のような理由も考慮すると1〜2年ごとの変更はするかなという感じです。
keijitakeda @keijitakeda 2016年8月24日
@yzfr13 さん あと大学にパスワード以外の認証方式を採用することについての調査を行っています。
葉山一郎 @yzfr13 2016年8月24日
keijitakeda 先生、ご丁寧にありがとうございました。
みけたす(WGFC-はいご) @mikechi3 2016年8月24日
他人に強制しないと書いて責任放り投げ、個人の感じと書いて責任放り投げ、そんな予防線だらけのふわふわした逃げ腰感想文。いまどき裏口入学なんてあるんだな。え?学生さんでしょ?
みけたす(WGFC-はいご) @mikechi3 2016年8月24日
yzfr13 でも傍流であっても説き聴かせる位の持論であれば、きっと信念は持たれてて一貫性のある形できちんと説明して頂けそうですね。さすがにふんわりした言葉だけでは失職でしょう(笑)
ログインして広告を非表示にする
ログインして広告を非表示にする