パスワード定期変更を要求しても末尾の数字を変えるだけで意味ないんじゃないのという話

パスワード定期変更を要求しても多くの利用者は末尾の数字を変えるだけで意味ないんじゃないかというよくある疑問に関する会話についてまとめました。
8
Ikeda Masakazu @ikepyon

パスワードの定期変更を強制するサイトのパスワードの多くが推測が難しい固定部+定期変更に合わせて順繰りに加算されていく数値部となってたりして。で、一度そこでパスワードが漏れると数値部だけ変更されたのが使われて、結局あまり意味のない変更だったりするんじゃないだろうか?w

2014-12-08 11:15:38
tomokisanaki @tomoki0sanaki

@ikepyon そういえば、僕なりの曲解かもしれないけど、某先生は「現在、そういう事態じゃなきゃ、こんなの気にしなくていいじゃん」ってずっと前にコメントしてた。

2014-12-08 15:20:06
keijitakeda @keijitakeda

@tomoki0sanaki @ikepyon 変更ありとなしであればありの方が被害の発生確率は低下することはあっても増加することはないと思います。その手間の大きさをどう評価するかはその人次第かと。

2014-12-08 19:28:20
Ikeda Masakazu @ikepyon

学術派の人にはパスワードの定期変更を強要するシステムと強要しないシステムでユーザー心理的にどちらが推測可能なパスワードをつけやすいのか研究して欲しいなぁ

2014-12-09 00:11:30
Ikeda Masakazu @ikepyon

それによってパスワードを定期変更したほうがいのか悪いのかガ決着つきそう

2014-12-09 00:12:26
Ikeda Masakazu @ikepyon

感覚的にはパスワードの定期変更を強要するシステムのほうが、一度でも漏洩すると推測可能なパスワードをつけることが多そう

2014-12-09 00:14:03
keijitakeda @keijitakeda

@ikepyon 条件を限定したもであればいくらかの論文があります。実際の攻撃を考えると推測可能性の前提を何にするかで評価がわれると思います。オンラインアッタクかソルトハッシュの解読か、パスワードリストの存在を前提とするかしないかなど。そして「推測可能」の定義が何かということ。

2014-12-09 00:20:53
keijitakeda @keijitakeda

@ikepyon 定期変更してなければ、推測せずとも漏洩したパスワードそのものでは?

2014-12-09 00:24:02
Ikeda Masakazu @ikepyon

推測としてはn個前までのパスワードが使えなくて、定期的な変更を強要するシステムだとn+1個のパスワードが使いまわされて、過去に使ったパスワードは使えない場合は固定の推測が難しいモノ+数値が最も多い気がする

2014-12-09 00:25:18
Ikeda Masakazu @ikepyon

@keijitakeda 定期的変更を行ったとしても、以前漏洩したパスワードから推測可能なものであれば、定期的変更を行っていたとしても、攻撃側の手間としてはあまり変わりは無いのでは無いでしょうか?

2014-12-09 00:40:08
keijitakeda @keijitakeda

@ikepyon 特定アカウントを執拗に狙うケースであればそこまでする可能性はありますが、現状のリスト型攻撃だと試行回数等の情報からそこまでしてないように思われます。手間は平均で5倍以上にはなりますね。

2014-12-09 00:47:33
Ikeda Masakazu @ikepyon

@keijitakeda 5倍程度で全アカウントの数パーセントのパスワードがわかるのであれば十分攻撃側として価値があると思いますけど?何パーセントなのかは実際にどの程度の人が推測可能なパスワードを設定するかによりますけど

2014-12-09 00:49:43
Ikeda Masakazu @ikepyon

@keijitakeda 全体で見ると被害は小さいですが、小さい被害に遭う人にとっては非常に大きな損失だと思います。被害に遭った人はその対策としての定期的な変更による手間は被害に見合うと考えられるのでしょうか?手間だけかかるのに被害を防げないなら意味は無いと考えるのでは

2014-12-09 00:53:23
Ikeda Masakazu @ikepyon

@keijitakeda もし、多くの人が一度漏洩したパスワードから推測不可能なパスワードを設定するのであれば、定期的なパスワード変更はやる価値があるものだと思います。しかし、そうで無いならばやる意味は多くの人にとってないのではないでしょうか?

2014-12-09 00:55:49
Ikeda Masakazu @ikepyon

誰でもいいからパスワードがわかればいい。しかも不正侵入が検知されるまでにそのパスワードを使うことが出来ればいいという攻撃者の考えに従えば、一度でも漏洩したパスワードから推測可能なパスワードを使うユーザーが多ければ、定期的な変更は意味が無いと思う

2014-12-09 00:59:52
keijitakeda @keijitakeda

@ikepyon その前提ですと定期変更してない人は漏洩したパスワードで全員被害に遭いますね。それよりは変更によって非常に大きな損失に遭う人が減るならそれは良いことではないでしょうか。ただその手間をどう考えるか、末尾以外で英文字インクリメントも考えるかなどひとそれぞれだと思います

2014-12-09 01:00:00
Ikeda Masakazu @ikepyon

@keijitakeda もちろん、定期変更していない人は漏洩した時点で論外です。しかし、漏洩したことがわかった時点で、変更を促せばいいのでは無いでしょうか?定期的変更をしていたからと言って、漏洩したパスワードから推測可能であれば、定期変更していない人と変わらないのでは?

2014-12-09 01:02:40
Ikeda Masakazu @ikepyon

@keijitakeda 定期的変更が有効であるといえるのは、定期的変更により、以前設定していたパスワードから推測不可能なパスワードを設定する人がほとんどであるという仮定が正しい場合だけだと思います

2014-12-09 01:04:31
keijitakeda @keijitakeda

@ikepyon 末尾以外の桁の英字インクリメントをした場合はどうでしょうか。

2014-12-09 01:05:28
Ikeda Masakazu @ikepyon

@keijitakeda その場合、漏洩がわからなければ何度も取得すれば傾向がわかるのでは無いでしょうか?漏洩が発覚した時点でパスワード変更をシステム側で強要すればいいのでは無いでしょうか?

2014-12-09 01:07:15
keijitakeda @keijitakeda

@ikepyon ちなみにサイト毎に異なるパスワードを設定するというのも同様に漏洩したパスワードから類推不可能なものでないといけないとお考えでしょうか。

2014-12-09 01:07:50
keijitakeda @keijitakeda

@ikepyon 漏洩がわかった場合に変更を要求するのは当然として、今の話題は漏洩がわからない場合に被害を低減させる効果があるかどうかだと思います。

2014-12-09 01:09:23
Ikeda Masakazu @ikepyon

@keijitakeda はい、その方が好ましいと思います。しかし、同じサイトで推測可能であるパスワードを使いまわすよりは類推可能であってもいいと思います。程度の問題ですが

2014-12-09 01:09:47
Ikeda Masakazu @ikepyon

@keijitakeda はい、その意味で定期変更する必要があるサイトのユーザーが似たようなパスワードを使うかどうかというのは調べる価値があることだと思います。

2014-12-09 01:12:12
残りを読む(18)

コメント

大禍津 @RedriaAin 2014年12月9日
パスワードを三回ミスるとロックがかかるせいで、みんな簡単なものを、流用してるんじゃないかと思ってる
10
VRAM01K @VRAM01K 2014年12月9日
定期変更って長期の成り済ましが防げるかも、ってだけですよね。だったらそんな半端な対策をユーザに押し付ける前に、まずログイン履歴のページを作るべきじゃないでしょうか。
1
SAKURA87@多摩丁督 @Sakura87_net 2014年12月9日
パスワードの使い回しは止めよう!って言う指南サイトで「頭にサービス名を付ける(togetter_Pass123みたいな)」が堂々と書いてあるんだからもうなんかそんなもんだよなって思う。
0
keijitakeda @keijitakeda 2014年12月9日
VRAM01K OCNの場合はログイン履歴のページとログインアラートの機能があるようですね。http://www.ocn.ne.jp/info/announce/2012/03/30_1.html 他にワンタイムパスワードの機能もあるようです。
0
ホームズ @9426856 2014年12月9日
実際問題、流失した一秒後からパスワードの悪用が始まるなんてことはなくて、数日から数週間の誤差があるし、その流失した情報自体が最新の物ってことも珍しい。 だから、数週間に一回でも一ヶ月に一回でもパスワードの二桁か三桁を適当に入れ替えるだけで個人レベルなら十分対策になる。 (そも大文字小文字数字で60通りで三桁なら20万近くのパターンが生まれるから、リスト総当り方式でそこまで試行するくらいなら次にいくわね。)
1
VRAM01K @VRAM01K 2014年12月9日
keijitakeda なるほど、OCNについては出来ることは十分対応しているようですね。その上で義務付けると判断するに至った理由は興味をひくところです。まあメールのパスワードは用途的にログイン履歴確認とかあまりやらなさそうですけど。
0
つくし なづな @Do_like_her 2014年12月10日
ログインの際、無機質なパスワードの代わりに、「通っていた小学校は?」とか「母親の旧姓は?」みたいな複雑ではあるけどもちゃんとした意味のある合言葉が使われるようになれば、少なくとも「定期変更で末尾だけ変更」とか「忘れない様にメモ」みたいな本末転倒は防げる気がする。
0