編集可能

STOP!パスワード使い回し!!について思うこと

信頼のおけるパスワード管理ツールとは。 ブラウザのパスワードマネージャを使うという選択肢がないことについて。
12

「信頼のおけるパスワード管理ツール」について

おはき゛ @hakaikosen

IPAのSTOP!! パスワード使い回し!!キャンペーンには言いたいことがすごいあるんですよ。

2014-10-17 21:22:30
おはき゛ @hakaikosen

まぁ趣旨としてはそんなに悪かないと思うんだけど。

2014-10-17 21:23:10
おはき゛ @hakaikosen

対策の(1)のcに、パスワード管理ツールを使うというのがあるじゃないですか。ここで唐突に「信頼のおける専用ツール(ソフトウェア)を使用し、IDとパスワードを保存します」って言い出すわけです。信頼のおける専用ツールってなんやねんと。

2014-10-17 21:25:11
おはき゛ @hakaikosen

信頼のおける専用ツール、なんてものが現実に存在するのかというのがまずあります。だってIPAだって何も例示しないわけです。具体的には申し上げられないが、信用のおける専用ツールを使えと言っているわけです。無責任じゃないですか。

2014-10-17 21:26:10
おはき゛ @hakaikosen

ここでIPAが「信頼のおける専用ツールを作りました!」とでも言うなら格好いいと思うし、啓蒙活動としてベストな選択だと思います。でもそんなことできないですよね。だって完全なセキュリティなんてないことを一番知っているべき組織であるし、何か会った場合の責任なんて取れやしない。

2014-10-17 21:27:25

ブラウザのパスワードマネージャとオートコンプリートについて

おはき゛ @hakaikosen

ここで現実的な解決策に立ち返って、「比較的」信頼のおけるパスワード管理ツールとは何かがあるかと考えます。僕はそれは、ブラウザ自体が持つパスワードマネージャ機構だと思っています。サードパーティ製のものと比較すれば、の話ですけれども。ブラウザを信用しなければ通信すらできなくなる。

2014-10-17 21:30:07
おはき゛ @hakaikosen

だから、パスワード管理には、ブラウザのパスワードマネージャ機構を使おうというのが一つの解として例示されるべきです。しかし、このキャンペーンでは、ブラウザのパスワードマネージャ機構については何も触れません。

2014-10-17 21:31:46
おはき゛ @hakaikosen

比較的信頼できる、ブラウザのパスワードマネージャ機構が無視されているのは何故なのでしょうか。僕は下衆い見方が好きなので、きっとそれは、ブラウザのオートコンプリートは無効にすべきであるという教義に基いているからであろうと考えています。

2014-10-17 21:33:27
おはき゛ @hakaikosen

ブラウザのパスワードマネージャ機構は、入力フォームのオートコンプリート機能と関連しています。そしてセキュリティ専門家は何故か、セキュリティを高めるためと言って、オートコンプリートを無効にしたがるのです。結果、ブラウザのパスワードマネージャ機構が抑圧された時代が長く続いてきました。

2014-10-17 21:35:51
おはき゛ @hakaikosen

オートコンプリートは、確かに一面では危険な機能です。オートコンプリートによって表示された入力候補を閲覧した人間が、それを過去に入力した人間と一致しているとは限らないからです。オートコンプリートは、本質的に情報漏洩の危険性を孕んでいます。

2014-10-17 21:37:56
おはき゛ @hakaikosen

しかし、オートコンプリートが危険なのは、同じ環境を複数人が共有している場合です。Windows9xの時代ならともかく、現代のOSは、ユーザアカウントを適切に管理することによって、各ユーザが閲覧できる情報を制限することができます。

2014-10-17 21:38:56
おはき゛ @hakaikosen

すなわち、オートコンプリートによる情報漏洩というのは、ユーザ管理の稚拙さが根本的な原因です。あるいはそのリスクを許容した上で運用されているために生じるものです。オートコンプリートによる情報漏洩を、サイト運営者の責任とする論法には、とても賛同できません。

2014-10-17 21:40:40
おはき゛ @hakaikosen

同じものを共有していれば、情報は漏洩するというのは当然の帰結です。また、オートコンプリートは利用者側で抑止することができます。そもそも、オートコンプリートはユーザエージェントが提供する便利機能です。本来的に、Webサイト側で抑止する性質のものではありません。

2014-10-17 21:43:04
おはき゛ @hakaikosen

オートコンプリートを無効にしていなかったことによって情報漏洩が発生し、サイト運営者の非が認められた判例とか、あるいは情報漏洩以外でオートコンプリートが原因で発生したセキュリティインシデントとかあるんでしょうか?特に調べてはいませんが、あるなら知りたいところです。

2014-10-17 21:44:02
おはき゛ @hakaikosen

もっとも、ユーザエージェントも黙ってオートコンプリートの無効化を受け入れるわけではなく、モダンなブラウザは、パスワード入力フォームのオートコンプリート無効設定を無視します。IE11がこのような仕様を決定し、Chrome、Firefoxも追従しました。

2014-10-17 21:46:59
おはき゛ @hakaikosen

つまり、モダンなブラウザを利用していれば、サイト運営者の横暴を無視して、きちんとブラウザのパスワードマネージャ機構を利用することができます。これなら、サイトごとに別々のパスワードを設定する手間もかなり楽になりますね。サードパーティ製の信頼のおけるツールを探す必要もありません。

2014-10-17 21:48:15
おはき゛ @hakaikosen

もちろん、パスワードマネージャに記録される情報は、ユーザごとに別々になるので、適切なユーザアカウント管理を行っていれば、漏洩することはまずありません。(実際は、ChromeなどはGoogleアカウントに紐付けて共有しているので、ちょっと不安ですが)

2014-10-17 21:49:37
おはき゛ @hakaikosen

では、なぜIPAはブラウザのパスワードマネージャを使用しろと言わないのか。サイト運営者のオートコンプリート抑止設定を受け入れてしまう哀れなブラウザが、まだたくさん生き残っているからというのはあるかもしれません。でも、本質はブラウザ側ではありません。

2014-10-17 21:51:05
おはき゛ @hakaikosen

レトロなブラウザのパスワードマネージャ機構が利用できないのは、オートコンプリート抑止設定をサイト運営者が行っているからです。サイト運営者へオートコンプリート抑止設定をするべきである、と(意図せず)啓蒙してきたのがIPAです。

2014-10-17 21:54:05
おはき゛ @hakaikosen

意図せずと書いたのは、IPAとしては、サイト利用者へのセキュリティ対策としての、「利用者側で」オートコンプリートを無効にするという啓蒙活動しかした形跡が残っていないからです。IPAの資料はしばしばこっそり書き換えられるので、過去にどうだったかは今の僕にはわかりません。

2014-10-17 21:57:03
おはき゛ @hakaikosen

どこかのマヌケはこれを見て、「運用者側で」オートコンプリートを無効にすべきと考えるようになったのでしょう。厳密にはIPAとどちらが先かはわかりません。いつから始まった教義なのかもわかりません。しかしながら、このマヌケの思想は現代まで受け継がれてきてしまいました。

2014-10-17 21:58:52
おはき゛ @hakaikosen

かくして、僕が物心ついたころには、パスワードフォームのオートコンプリートは無効にされてしかるべきという教義が多数を占めていました。今もそうです。なんなら、キャンペーンに協賛している企業のサイトを見てください。autocomplete=“off”の記述を見ることができるでしょう。

2014-10-17 22:00:37
残りを読む(25)

コメント

山形健之助の戦い方 @nakodokan 2014年10月18日
なるほどムホルンリンクル オートコンプリートならパスの使い回しをする必要ないしランダムパスでもらくらくちんちんだな。 えっ、楽チンのチンってちんこのことだったの!? 利便性とセキュリティはトレードオフの関係にあるらしいけど パソコンの管理を徹底しているならオートコンプリートはいいバランス取れそうだなーと思いました。
0
cocoon @cocoonP 2014年10月18日
言っていることは100%同意するんだけど、オートコンプリート無効にせよというのはクレカ協会のセキュリティ基準(PCI DSS)に引っ掛って認定降りなくなるのよねえ
0
おはき゛ @hakaikosen 2014年10月18日
PCI DSSは知らない分野だったのでありがたいです。ぱっと見、要件の拡大解釈が過ぎると個人的には思いますが、業務的に誰にも緩められないのは推察できます。そういうのをなんとかしたいんですけどねえ。
0
Tsuyoshi CHO @tsuyoshi_cho 2014年10月20日
ブラウザのパスワードマネージャでもまあ最低限はいいかも。ただ1Passwordなりなんなりの管理ツールで可搬性を担保できるといいかな。ま、パスワードの強度はユーザーの責ではあるしなぁ、がんばりましょ。
0
ひろ@猫もふ欠乏症 @hiro_h 2014年10月21日
ブラウザ以外のパスワードは…
0
おはき゛ @hakaikosen 2014年10月21日
ブラウザ以外での認証は信頼のおけるパスワード管理ツール他で管理するしかないですね。
0