武田先生とボクのパスワードの定期変更に関するやり取りメモ
@ntsuji 変更回数が増えるとどのようにパスワードが脆弱になるのでしょうか?これは確かに良く言われることで何となく感覚的には分かりますが攻撃者視点でどういう変化があるかが気になります。
2013-12-21 22:06:18@keijitakeda いいえ。パスワードの定期変更を推進している方の主張の裏付けとしているものが崩れるという意味です。
2013-12-21 22:06:25@keijitakeda 変更回数が増え、過去に設定したもののいくつは使えないという条件があって、さらに複数のサービスを使っているとなると覚えられず、覚えられるものを使い回すという流れになるのだと思います。また、これは攻撃者視点ではなく、ユーザ視点かと思います。
2013-12-21 22:08:38@keijitakeda どのような形の攻撃リスクを高めることになるのかということは、覚えられるような脆弱なパスワードを複数のサービスで使うことがどういう攻撃に対して脆弱かということを聞かれていますか?
2013-12-21 22:13:31@keijitakeda リスト型攻撃と辞書攻撃です。事故のニュースなどから分かる傾向を見ていると、急ぐべきは複数サービスの使い回しをやめてもらうこと、脆弱なパスワードの設定をやめてもらうことだと思います。定期変更をさせることはそれらに対しての阻害要因になると思っています。
2013-12-21 22:15:31@ntsuji 辞書攻撃で例えば大文字小文字数字ぐらいを含めたもの(passwordとか12345678とかjoeアカを排除したぐらいのもの)でも辞書攻撃の被害に遭うものなのでしょうか。
2013-12-21 22:17:38@ntsuji あとリスト型攻撃の場合でサービスAが1年Bが6ヶ月Cが3ヶ月の更新を要求してるとして対象ユーザーは3ヶ月毎に全てのパスワードを同期させて変更するようなことになるのでしょうか?更新タイミングによってパスワードに多様性が生まれたりはしないでしょうか。
2013-12-21 22:18:29@keijitakeda それは辞書の質と辞書を選択する攻撃者に依存するのではないでしょうか。漏えいしたパスワードが掲載されている記事などを見ていると弱いパスワードを設定するユーザを狙うほうが効率がいいと判断できるとは思います。
2013-12-21 22:30:03@keijitakeda また、ユーザ名が推測可能なサービスやメールアドレスのリストを手に入れることができればパスワードを弱いものに固定してユーザ名を変化させるログイン試行を行なうことも攻撃者からしたら効率がいいと考えられると思います。
2013-12-21 22:30:17@keijitakeda このように考えるとオンラインサービスにおける辞書攻撃は、現状、弱いパスワードを設定しているユーザを狙う傾向が生まれるのではないかということが言えると思います。
2013-12-21 22:30:28@ntsuji はい。 passwordとか12345678とかasdfghjkとかそういったものが狙われると思うのですが、英数大文字小文字プラス数字混合にしてもなおそういった被害が発生しているのでしょうか?大抵は上記のような非常に単純なパターンのような気がするのですが。
2013-12-21 22:33:22@keijitakeda 更新タイミングによって多様性が生まれるというのは定期変更を複数のサービスで何度か行なうことで結果的に使い回しがなくなるのでは?ということをおっしゃっていますか?
2013-12-21 22:34:50@keijitakeda 「英数大文字小文字プラス数字混合」での被害はないとはまでは言い切れませんが、置き換え表現(P@sswrdのようなLEET表現)などでなければ被害には遭いにくいと思いますし、そのユーザは定期変更する必要が極めて薄いユーザであると言えると思います。
2013-12-21 22:37:26@ntsuji 変更タイミングのずれはサービス利用開始時期のずれなどもありまた周期の違いなどもあり必然的に発生すると思うのです。その場合ユーザーは全ての変更を同期してパスワード変更を行うことを想定されているのかなあと。実際には人によってはずれが発生していくのではないかと。
2013-12-21 22:38:10@ntsuji あと定期変更が要求されるためにユーザーはその弱いパスワードを使い続けることができないという考え方はないでしょうか?弱いパスワードを固定で使われるよりはマシというような考え方です。
2013-12-21 22:41:15@keijitakeda 登録した日から◯日、以後同じ間隔で定期変更となっていれば複数のサービスごとに変更タイミングは異なるのでズレると思いますがそれがどういった結果を生むのでしょうか?
2013-12-21 22:41:31@ntsuji リスト型攻撃に関して言えば例えばこのケースで http://t.co/XYMm5Sbz7v パスワードがどこかで収穫されて流通して攻撃者の手に渡るまでに一定の期間がかかり、また攻撃者は攻撃をゆっくり数ヶ月に渡って行うようなケースがしばしば存在します。
2013-12-21 22:43:36@ntsuji こういった場合に定期変更が行われていれば攻撃のタイミングによっては市場で流通したパスワードが使えないということで被害が防止されるということはないでしょうか?
2013-12-21 22:44:24@keijitakeda 強固なパスワード(長く複雑な文字列)を設定していることで不正ログインされないということですね。これは経験になってしまいますが、ユーザ数も多くボクもよく使っているとあるサービスでは10年ほど変更していないものがありますが自覚される被害はありません。
2013-12-21 22:45:41@ntsuji ある時点において同じパスワードが使われる機会が減るのではないかと。例えば定期更新を要求していなければ全てのサービスでずーっと同じパスワードを使うことが可能です。定期更新があればなんらか変更が必要でありさらにタイミングがずれるとある時点で異なる複数のパスワードが…
2013-12-21 22:46:04@ntsuji 利用されることになるのではないかという考えです。(意識的に全てのサービスを一斉変更するユーザーを除き)
2013-12-21 22:46:47@ntsuji 漏洩リスクに対してはパスワードの複雑さは効力がないですよね。内部犯行、サーバーからの漏洩、盗聴、フィッシング、キーロガーなど様々な経路でのパスワード漏洩の可能性があるわけで。あとそのパスワードが他のサービスで使われていて漏洩した場合はどうでしょう。
2013-12-21 22:50:32