パスワードリセットに関する佐名木氏と徳丸の会話
-
- いいね!26
徳丸 浩
@ockeghem
リセット後のパスワードをメール送信するパスワードリセット方式の注意点 | 徳丸浩の日記 http://t.co/VusKYAK8j8
2013-05-15 09:41:05
tomokisanaki
@tomoki0sanaki
@ockeghem 盗聴可能な状態というかなり厳しい前提なので、URLを送る場合でも新パスワードを送ってもあまり変わらない気がします。盗聴可能という状態であれば、現実的には利用者タイミングでなく攻撃者タイミングでリセットは行われるだろうと思いますし・・・
2013-05-15 22:03:12
tomokisanaki
@tomoki0sanaki
@ockeghem それはURLの場合でも早い者勝ち競争は利用者は分が悪い戦いになりますし、攻撃者に成りすまし後にリセットを通知するメールアドレスを変えられた場合、一貫の終わりのような気がします。
2013-05-15 22:04:56
tomokisanaki
@tomoki0sanaki
@ockeghem サイト側で初期化できるという事は、その最大強度のパスワードを利用者に薦めるということもできます(大抵の初期化型では行われていませんが・・・)。パスワード変更によって強度を落とすのは自己責任でお願いします。というスタンスも取れます。
2013-05-15 22:08:32
tomokisanaki
@tomoki0sanaki
@ockeghem 最終的には、パスワードを送るかURLを送るかではなく、リセットしたことによるメール通知をするかどうか、という点にズレているような気がします。
2013-05-15 22:09:55
徳丸 浩
@ockeghem
@tomoki0sanaki 重要なことは、メールの場合は盗聴可能な状態が頻繁にあるわけではないが、想定し得るということです。HTTPSを正しく使っている場合、盗聴は想定する必要はありません。これにたいして、メールの場合、確率は低いものの盗聴の可能性があるという点が違います
2013-05-15 22:15:53
徳丸 浩
@ockeghem
@tomoki0sanaki 恐らく極めて低い確率であっても、現実にあり得る盗聴リスクに対して、コントロールがあるかないかが問題と考えます。盗聴を考慮しなくて良いのであれば、現在パスワードのお知らせで良いわけです
2013-05-15 22:17:00
tomokisanaki
@tomoki0sanaki
@ockeghem 「恐らく極めて低い確率であっても」ということであれば、「秘密のURLがたまたま推測されてしまった」という確率は考えなくても良いのですか?・・・「極めて低い確率」は「極めて低い確率」として評価すべきだと思います。
2013-05-16 01:51:46
tomokisanaki
@tomoki0sanaki
@ockeghem 「盗聴を考慮しなくて良いのであれば、現在パスワードのお知らせで良いわけです」→良いとは思えませんが。まぁ、悪いという積極的理由もありませんが。
2013-05-16 01:53:03
tomokisanaki
@tomoki0sanaki
@ockeghem さらに「メール盗聴のリスク」ではなく、「成りすまされていることに気づくかどうか」に論点がズレているような気がします。
2013-05-16 01:56:18
tomokisanaki
@tomoki0sanaki
@ockeghem さらに「成りすまされていることに気づくかどうか」を「成りすまされているかもしれない」という論点にズラすと(このズレは僅かしかないと私は思いますが)、「パスワードは定期変更しましょう」という結論になるでしょうね。
2013-05-16 01:57:19
徳丸 浩
@ockeghem
@tomoki0sanaki 「低い確率」の程度問題であって、それを言い出せば勝手に作ったデジタル証明書がたまたま当たる確率だってゼロではないわけです。極めて低いがあり得る確率(例えば宝くじに当たる確率)と、無視して良い確率(証明書がたまたまあたる確率)は区別しないといけない
2013-05-16 06:58:31
徳丸 浩
@ockeghem
@tomoki0sanaki ずれてないですよ。メール盗聴のリスクがあるので、それをコントロールする必要があり、そのために「盗聴に気づくことができる方法」に着目しているわけです。「盗聴」は解決すべき課題、「なりすましに気づく」というのは手段(の一部)です
2013-05-16 07:01:02
徳丸 浩
@ockeghem
@tomoki0sanaki その「ずれ」は本当に大きいし、「なりすましに即座に気づく」(ので即座に対処した)と「継続的になりすましされていたが半年後のパスワード変更で解消された」はリスクコントロールのレベルが全然違います
2013-05-16 07:03:07
徳丸 浩
@ockeghem
@tomoki0sanaki 盗聴を考慮しなくて良いのであれば、そもそもSSLなんて要らないわけです。現実には、「盗聴は滅多にないがあり得ること」という前提でSSLを使います。SSLに比べてメールは機密性が低いので、パスワードリセットには追加のコントロールをいれてリスクを下げます
2013-05-16 07:12:42
徳丸 浩
@ockeghem
@tomoki0sanaki 違います。パスワードを定期的に変更しなければならない状況は潜在的に危険であって、パスワードを定期的に変更しなくてもすむようにリスクコントロールしましょう、ということです
2013-05-16 09:08:07
tomokisanaki
@tomoki0sanaki
@ockeghem 「メール盗聴」を前提にした場合、URIでも、新パスワードでも、メールで送るのであれば、「アカウント乗っ取り」というだけで大事であるという点で大差はない、継続的という性質は「アカウント乗っ取り」という事象に比べれば瑣末な話だと思う。というのが私の主張です。
2013-05-16 09:10:05
tomokisanaki
@tomoki0sanaki
@ockeghem ズレてますよ。「メール盗聴のリスクがあるので、それをコントロールする必要があり・・・」と書いていますが、アカウントが継続的に成りすまされていることを気づくかどうかという話に論点をズラして、それはメール盗聴のリスクに関してのコントロールではないですよ。
2013-05-16 09:12:39
徳丸 浩
@ockeghem
@tomoki0sanaki アカウント乗っ取りが重大な事態というのは同意ですが、仮に乗っ取られたら一刻も早く対策するべきです。継続的かどうかを些末な問題というのであれば、パスワードの定期的変更も必要なく、ずーっと乗っ取りされたままでよい、ということになりませんか?
2013-05-16 09:13:45
tomokisanaki
@tomoki0sanaki
@ockeghem 同意します。・・・大学時代に読んだ本のうろ覚えの記憶ですと、心理学的には1/100万以下の確率をヒトは無視し始める傾向にあるそうです。・・・数字はうろ覚えですが、心理学的に実験済みで、数値化されているんだぁ、と当時感動した記憶だけがあります。
2013-05-16 09:15:36
徳丸 浩
@ockeghem
@tomoki0sanaki いいえ。メールの盗聴の段階では、まだパスワードリセットしたアカウントは乗っ取られていません。その後、運が悪ければ乗っ取られるわけですが、乗っ取られた段階で遅滞なく気づけるというのがコントロールです
2013-05-16 09:17:51