定期的なパスワード変更は有効な施策なのか?

IPAが公募している「ID・パスワードのセキュリティ対策促進に関する広告等業務(https://www.ipa.go.jp/about/kobo/kobo20140903.html)」の内容に「ID・パスワードの定期変更を促進する内容」があるということで、パスワードを定期的に変更することを啓蒙することが有効策なのか、有効だとすればなぜ有効なのか、そしてそれは本当に有効なのか?と言う事を議論されていました。 ちょっと長いです。
インターネット パスワード 情報セキュリティ セキュリティ
34
Yosuke HASEGAWA @hasegawayosuke
IPAのあれ、「パスワードの定期変更」って書いてきたダメな事業者を振るい落とす巧妙な罠だと信じてる…
keijitakeda @keijitakeda
@hasegawayosuke パスワードの定期変更を書くのが必ずしも駄目とも思えないのですが。
Yosuke HASEGAWA @hasegawayosuke
@keijitakeda 「ID・パスワードは定期的に変更する」「サービスごとに異なるパスワードを設定する」「パスワードはわかりにくい文字列(8文字以上、記号を含む)を設定する」のいずれかを訴求する場面において他をさしおいてパスワード変更を推すことが駄目でない理由は何でしょう?
keijitakeda @keijitakeda
@hasegawayosuke 例として使用しなさいという話で、どの対策を一番推すかを選択するという話ではないのでは?
keijitakeda @keijitakeda
@hasegawayosuke 「広告展開を企画・ 実施し、対策実施への行動喚起を促す。(使用する対策事例は複数も可)」
keijitakeda @keijitakeda
@hasegawayosuke どの対策を推すかというニュアンスはないかと思います。
keijitakeda @keijitakeda
@hasegawayosuke そういう話ではなくて一律にパスワードの定期変更の推奨を嘲笑するような風潮を広める事はあまり良く無いのではと思っています。
Yosuke HASEGAWA @hasegawayosuke
@keijitakeda 嘲笑するつもりはないですし実際していませんが、一律にパスワードの定期変更が有効な対策であるかのように掲げる風潮を広める事はあまり良くないのではと思っています。
keijitakeda @keijitakeda
何も考えずにパスワード定期変更をユーザーに押し付けるのは良くないが、何も考えずにそれを一律に批判することもまた良くないと思っています。
keijitakeda @keijitakeda
@hasegawayosuke すみません。現状においてパスワードの定期変更を対策オプションの選択肢から外すというまでの確証は得られてないのではないかと思っています。そこで変な空気が広まるのもどうかなぁと思った次第です。
Yosuke HASEGAWA @hasegawayosuke
@keijitakeda 広告という字数が限られたなかで一般人にきちんと印象に残り、定期変更が効果的か定かではない場合をも含む広範・一般的な状況でも当てはまるべく対策として、他を差し置いて「パスワードの定期変更」を掲げることは、僕は「ダメ」であると考えています。
Yosuke HASEGAWA @hasegawayosuke
そもそも、パスワードの(定期)変更が友好的に働くのは特定の条件下だけなのに、一律に攻撃に対して「定期変更が有効」みたいなのが広がるほうが問題。
keijitakeda @keijitakeda
@hasegawayosuke それは他の対策の例についても言えることではないでしょうか?
nut @nut320
@keijitakeda @hasegawayosuke 横槍で失礼しますが、「1.パスワードの定期変更」「2.パスワードを使い回さない」「3.簡単なパスワードを使わない」だと、1が最も重要性が低いように思います。2や3が守られないから、仕方なく出てくる対策ではないですか?
keijitakeda @keijitakeda
@nut320 @hasegawayosuke 2. 3. の対策でも防げないリスクをカバーされる部分(対象サービスのサーバーからの漏洩やフィッシングから作成されたパスワードリスト流通等)もありますから対策機能としては若干違ったものになるかと思います
nut @nut320
@keijitakeda それって、定期変更してなくても漏洩が判明してからなら対応できますよね?定期変更でカバーできるのは「頻繁な変更のおかげで、運良く漏洩から悪用までの間にパスワード変更してたとき」だけではないですか?
keijitakeda @keijitakeda
@nut320 それを言い始めると「運良く漏洩が判明」した場合は対応できますよねということになりますね。
nut @nut320
@keijitakeda なるほど。武田先生が定期的な変更の価値を認めるのは、漏洩にサービス側も利用者本人も気付いていない場合でも、被害を防げるから、ということでしょうか?
keijitakeda @keijitakeda
ちなみに「パスワードはわかりにくい文字列(8文字以上、記号を含む)を設定する」なんてのはシステム側で制限すれば済む話。(実際にはそうで無いケースがあるので啓蒙が不要というわけではないが)記号は必ずしも必要とも言えない。
keijitakeda @keijitakeda
@nut320 パスワードリストの漏洩から流通、悪用、発覚までタイムラグが存在するケースが実際に確認されていて、その間にパスワードが変更されていた場合に被害がないであろうことが分かっているので効果がないとは言えないと思うんですよね。
keijitakeda @keijitakeda
@nakanishiyasuo @rocaz @nut320 「安易なパスワード」がどういうものを想定しているかわかりませんが変更のあるなしに関わらず単純なパスワードは制限すればよいのではないでしょうか。「繰り返し同じものを使用する」は「定期変更しない」と同じですね。
辻 伸弘 de Japón (nobuhiro tsuji) @ntsuji
IPAの「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争の訴求内容の中に「ID・パスワードは定期的に変更する」というのがあるんですね。 / ipa.go.jp/files/00004148… (続く
辻 伸弘 de Japón (nobuhiro tsuji) @ntsuji
続き)この文書の概要に「スマートデバイス等が普及し、新たな手口でのネットワークサービス犯罪が次々に発生する昨今において」とありますが、ネットワークサービスにおいて「定期的な変更」は他の訴求内容である(続く
辻 伸弘 de Japón (nobuhiro tsuji) @ntsuji
続き)「サービスごとに異なるパスワードを設定する」「パスワードはわかりにくい文字列(8 文字以上、記号を含む)を設定する」と同列に扱うべきものではないと思っています。ネットワークサービスにおいて「定期的な変更」が"無意味とは言えない"ケースは(続く
残りを読む(94)

コメント

ヨド @takuya_maiyuki 2014年9月5日
OTPを導入すればいい話と違うのかな・・・
球磨川 雪 @Sosogi_K 2014年9月5日
『何と戦ってるんだ、いったい。』
風花 手鞠(てまりん)🍭ふぇるみん式ひぽ➠た➠ @Temarin_PITA 2014年9月5日
一般ユーザーにパスワードを決めさせてる時点で定期変更しようが、恐らく弱いパスワードに変わりない。
ぉざせぃ @hijirhy 2014年9月5日
仮想「パスワードの定期変更を推奨する人々」の弁護を自ら買って出てるって話か。「見えない敵」ならぬ「見えない味方」。
ぉざせぃ @hijirhy 2014年9月5日
それはそれとして、定期変更を求めるサービスと求めないサービス、どっちがより弱いパスワードを使ってるかなんて(運営者の協力があれば)簡単にデータが取れるんじゃないか?恐らく有意な差が出ると思う。
桜浴衣王さん✬ @Dr_sakura 2014年9月5日
定期的に変えましょう→(メンドクサイカライヤジャ)→ヤられても自己責任ね。という話で済みそうだけどなあ。メンドクサイ人≒「情強」みたいだし、リスクを承知の上での「メンドクサイ」だろうから。
でき @dekijp 2014年9月5日
もうパスワード管理ツール欲しいわぁ。パスワード要求するサイトには自動入力で。もう人力管理は無理だ。
SSV_jp @SSV_jp 2014年9月5日
定期変更はあくまで一つの手段で、他の対策が思い付かない人がやれば良いのでは、と思いますね。パスワードを付箋に書いてモニターに貼ってる人には有効だと思います。
もとき てつ™ @tetsukichi 2014年9月5日
『本当の意味で風邪予防のためにうがいするなら、20分毎くらい頻繁にしないと効果が無い』という説があります。(そしてこれは多分、正しい) 定期的なパスワードの変更も「風邪予防のためのうがい」と同じくらい頻繁に変更しないとその効果はないんでしょうね。
ヨド @takuya_maiyuki 2014年9月5日
dekijp ノートン先生だとそういう機能ありますね。私も使ってます。
rxy @rxy 2014年9月5日
パスワード認証が手軽に実装できるのは理解できますが、公開鍵認証を対応してはくれませんかね。。せめて銀行の個人口座だけでもいいので…もちろんOPTも併用で。Google アカウント認証でもいいですが、100サイト以上のパスワード一斉変更に6時間以上取られるのは辛いです。
たぬき- EXP兵京静千 @tanukimia 2014年9月5日
正直言うと根拠はないけど、パスワードを変更するなら1分に1度変えないと意味がないと思ってる。 また、サービス毎のユニークパスワード設定も辛いので、漏れたらヤバい奴のみユニークにして、あとは使い回し。二段階対応であれば積極的に利用
瑞樹 @mizuki_windlow 2014年9月5日
業者がユーザにパスワードの定期変更を求めるなら、パスワードそのものを定期的に送ってこいって思うよね、郵送かメールでw
こげぱん @kogemayo 2014年9月5日
全てのパソコン・携帯に指紋認証を装備することの方がよっぽど早期に実現できると思うぞ…
勇者よっしー @yossiy7 2014年9月6日
定期的なパスワード変更を矯正する事で逆にパスワード漏れが発生する契機はありそう。 気がつかないうちにキーローガーを埋め込まれていた場合とか、パスワード覚えきれずメモに書くようになりメモ盗難とか。
冷たい熱湯 @Tuny1028 2014年9月6日
ユーザー側からすれば誰かにパスワードを破られる「かも知れない」リスクよりも自分がパスワードを忘れてしまってログインできなくなってしまう(こっちは「確実に」)リスクのほうが差し迫ってると感じられるしねえ
でき @dekijp 2014年9月6日
takuya_maiyuki ブラウザと連携してほしいや。Chromeにそういう機能あったかな?探してみよう。
鳩71⋈ @fs7112 2014年9月6日
定期的に変更されるパスワードというのはつまりワンタイムパスワードか。パスワード自体をそうできるのかな。(2段階は見かけるけれど)
trycatch777 @trycatch777 2014年9月6日
パスワードそのものの定期変更より、ログインID自体を他人に知られにくい仕組みとかできないもんなのかな?結局IDがメアドだったり、まんま表示対象だったりするから盗める訳で。
ひろ@猫もふ欠乏症 @hiro_h 2014年9月7日
本題とは外れるけど、マシンの入れ替え、は余りやらない…大体「追加」になってしまう…
赤間道岳 @m_akama 2014年9月8日
パスワードは8文字以上のランダムな文字列にすること。文字列はメモをとってはならない。他のシステムと共用してはならない。最長3週間ごとにまったく異なるものに変更すること。こんなルールをつくったとして、守れる人なんていないだろう(´・ω・`)
今そこにある神崎 @Euri_K 2014年9月11日
8文字以上のパスワードでメモも取ることができず、他のサービスと共用しないで定期的に変更する、という条件を踏まえてリテラシーがない方が取る手は「hogehoge1」→「hogehoge2」→「hogehoge3」→…だってのは現実問題として存在するので、ルールが多すぎると逆に雑になるんですよねこう言うの。業態や社風に合わせてフレキシブルに考えたほうが良い結果が出るかと。
今そこにある神崎 @Euri_K 2014年9月11日
余談ですが黒歴史ノートを未だ所持しておられる方は、ノートに書いたオリジナルキャラクターの名前や技名をパスワードにするのをおすすめします。基本、自分の脳内にしかない情報ですので。
みながわ あおい @Minagawa_Aoi 2014年9月11日
使いまわししつつ定期更新(と言っても1年に1度位)する人のことは考えないのかな…
創作文芸サークル時の輪@通販受付中 @Kamimura_Maki 2014年12月6日
特にBlogや自サイト持ちの人に言いたい。Webで公開してるメールアドレスをショッピングだ何だで多用するのは止めた方がいいです。複数メールアドレス持ってサイトごとに使い分けるのが基本だと思います。メールアドレスなどのIDは「もう一つのパスワード」だと思った方がいいでしょう。
山中島の冒険者 @Mattun_ 2014年12月6日
んなこと言っても馬鹿は存在すんだから、定期的に変更しない方法を作るしかないだろうに。 なんで、同一パスワードが使われるかというと、忘れ易いからだし、パスワード管理ソフトから定期的に~十文字の乱数で更新するようにすりゃ良いだろうに。 まぁ、上から対策求められて、一番安い対策なんだろうけど、これはユーザ減るわ。
ログインして広告を非表示にする
ログインして広告を非表示にする