武田先生とボクのパスワードの定期変更に関するやり取りメモ
強固なパスワードで使い回しをやめるためにボクはパスワード管理ソフトを使っていますが物理的に安全性を担保できるのであれば手帳にメモもいいと思います。万が一の紛失対策として数桁覚えておいてそれをメモした文字列の前後に付加してパスワードとして意味のあるものにするのもアリだと思いますよ。
2013-12-21 13:12:22パスワード管理ソフトの使い方を覚えるか(場合によっては有料のソフトもあるのでお金が必要なケースもあります。)、メモというアナログな方法での運用でカバーかというところですね。どちらでもよいと思いますし工夫次第かと思いますよ。
2013-12-21 13:15:19ボクとしてはボクが便利と感じるパスワード管理ソフトをおすすめしたいところですが、すべての人が使いこなせるわけではないのでパスワード管理ソフト1択とはできないと思っています。
2013-12-21 13:17:51あとパスワード管理ソフトって言っても全てが有料というわけではありません。複雑なパスワードを設定して、使い回さず、定期変更が必要なのでパスワード管理ソフトを買わないといけませんよ!なんて言ってくる人がいたらそれは「セキュリティ詐欺」だと思っていいと思いますよ。
2013-12-21 13:20:53パスワードが何かしらの方法で漏えいしたときに変更を行うことは効果があります。しかし、それは定期変更ではありません。定期変更のタイミング直前で漏えいがあったら効果がある。というような主張は、セキュリティの名の下にユーザに労力を原資にするギャンブルをさせているようなものですね。
2013-12-21 20:51:16@keijitakeda ギャンブルに近いものはあると思っています。その中でする必要のあるものか、ないものかを適切に説明するのが専門家ではないでしょうか。それに、ギャンブルは望んでする(その際に知見がなければ専門家の助言を聞く)ものであって、させるものではないと思います。
2013-12-21 21:07:23「パスワードが何らかの形で漏洩しているかもしれないことを前提とした対策」としてユーザに定期変更をさせることというのは今回公開された総務省の資料の趣旨とはズレないのでしょうか。資料のタイトルには「(サイト管理者などインターネットサービス提供事業者向け対策集)」とあるのですが。
2013-12-21 21:07:32「パスワードが何らかの形で漏洩しているかもしれないことを前提とした対策」を「サイト管理者などインターネットサービス提供事業者向け」にするならば外部からの指摘の前に気付き少しでも早く変更を促す仕組みを用意してもらうことのほうが重要な気がしますよ。
2013-12-21 21:07:43もちろん、ボクを含むユーザ側もおんぶに抱っこされていてはダメで、複雑なパスワードをいかに使い回さないかということに向き合わないといけないなと思います。サービス提供側とユーザ、それぞれの立ち位置で持ちつ持たれつ安全な環境を作って行く訳ですから。
2013-12-21 21:08:02@ntsuji そうです。ですのでそのメリット、デメリットを示した上で選択肢の一つとして提示すればよいと思っています。無意味、無駄と排除する必要はないと思っています。(当初より定期変更を推奨することに反対していますが場合により一定の効果があり選択肢に含めても良いと考えています。)
2013-12-21 21:09:55@ntsuji 辻さんちょっと話が途中からになっているからいろんな経緯が飛んでしまっています。私は総務省として定期変更を推奨することには反対の立場です。ですが状況によっては効果があるケースがもありメリットでメリットを示した上で事業者が判断すれば良いというスタンスです。
2013-12-21 21:12:47@keijitakeda 条件付きで一定の効果があるとすることはよいと思います。ゼロではないという意味で。しかし、あの文書には有効期限を設けるという意味でそれは違うのではないかと思った次第です。
2013-12-21 21:13:34@ntsuji そこで今このメリットの部分を全てすっとばして、定期変更は無意味、無駄、(サービスの性質を問わず、事業者内部の話でも)パスワードの定期変更をさせるなんていうのはおかしい。と決めつけてしまうのはまずいのではないかと思っています。
2013-12-21 21:14:37@keijitakeda その経緯は把握しております。(きちんと過去のツイートを見ています。)武田さんがあの文書に関わる中で定期変更推奨ではないというツイートも見ました。事業者が判断することはもちろん良いのですがその判断をする上であの文書はかなり影響力がある気がしています。
2013-12-21 21:15:30@keijitakeda その武田さんのスタンスを理解した上で質問をさせてください。武田さんのような反対のスタンスの方がいらっしゃる中でなぜあのような文書になってしまったのでしょうか?
2013-12-21 21:17:07@ntsuji 私は自分の考えや発言について表で発信していますが、私はこの事業について能動的に参加していたわけでもないので一連の経緯について語る立場にないと思います。ある程度予想はしましたが出てきたものが思ったよりも、、、という。私自身甘く考えていたところもあったかとは思います。
2013-12-21 21:24:42@keijitakeda そうだったんですね。この事業について語る事はできない立場であると認識をされているとのこと了解しました。オンラインサービスにおけるパスワードの定期変更の効果はかなり薄い(完全にゼロではないという意味で)とボクは考えています。
2013-12-21 21:39:08@keijitakeda パスワードの定期変更が特定条件下における効果のみであるという説明した上でサービス提供側が行なうべきことユーザが行なうべきことそれぞれを指し示していかないといけないのではないかとかなり前から考えています。
2013-12-21 21:41:45@keijitakeda リスト型攻撃に対抗するのであれば使い回しをやめる。辞書攻撃に対抗するのであればパスワード辞書に掲載されるようなワードを避ける。そのためにはどうする?といったところで、サービス提供側にできることユーザにできることそれぞれを理由とともに示すべきかと思います。
2013-12-21 21:44:34@ntsuji 検討の過程で私はそういう発言をしてきているわけなのです。その上でパスワードの定期変更のメリットデメリットについてもう少し踏み込んだ理解をしたいと考えています。少なくとも意味が無い・無駄と言われる考え方についてもう少し理解したいと思っています。
2013-12-21 21:49:56@keijitakeda デメリットはやはりユーザに労力をかけることと変更回数が増えることでパスワードが脆弱なものになりがちで、使い回しも増える可能性を高める割に効果が限定的ということでしょうか。
2013-12-21 22:00:42@keijitakeda また、これは仕組みの問題になるかもしれませんが定期変更をしても世代管理をしていないと何度も同じパスワードを設定してしまうことですね。しかし、そこで世代管理をして過去◯回以内に設定したものは不可とすると前述した弊害を生むということになるのだと思います。
2013-12-21 22:01:07@ntsuji 何度も同じパスワードを設定した場合にパスワード更新なしで同じパスワードをずーっと固定で使用した場合と比較してリスクが高くなるということでしょうか?
2013-12-21 22:02:52