パスワード定期変更を要求しても末尾の数字を変えるだけで意味ないんじゃないのという話
-
keijitakeda
- 10038
- 0
- 2
- 7
-
- いいね!7
Ikeda Masakazu
@ikepyon
@keijitakeda もし、ユーザーのほとんどが以前設定していたパスワードから推測不可能なパスワードを設定するのであれば、定期的な変更は非常に有効な対策になると思います
2014-12-09 01:13:00
keijitakeda
@keijitakeda
@ikepyon 「定期変更する必要があるサイトのユーザーが似たようなパスワードを使う」と思いますし、そのような調査データはいくらかあります。ただ攻撃者がそのような攻撃を行っているというデータはありません。
2014-12-09 01:16:21
keijitakeda
@keijitakeda
@ikepyon 「漏洩がわからなければ何度も取得すれば傾向がわかる」状態で何をそれ以上保護する必要があるんでしたっけ。
2014-12-09 01:19:21
Ikeda Masakazu
@ikepyon
@keijitakeda それは定期的変更するまでの間に漏洩した時点から何を保護する必要があるのかと言う疑問と同じです。
2014-12-09 01:26:31
keijitakeda
@keijitakeda
@ikepyon このあたりでしょうか。→ The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis cs.unc.edu/~fabian/papers…
2014-12-09 01:26:38
keijitakeda
@keijitakeda
@ikepyon パスワードリストが作成されて有効な状態で流通、販売、利用されるまでの時間を無限長から有限長に限定するということだと思います。
2014-12-09 01:28:30
Ikeda Masakazu
@ikepyon
@keijitakeda しかし、漏洩したパスワードから推測可能なものが多ければ、流通、販売、利用されるまでの時間が無限長であるものが多いことにならないでしょうか?
2014-12-09 01:29:49
Ikeda Masakazu
@ikepyon
@keijitakeda 多いか多くないかはサービス提供側が判断する項目なので具体的に何パーセントのユーザーが似たパスワードを設定するのかというデータがあれば、定期的変更をするかしないかの判断がつくものと思います
2014-12-09 01:31:28
keijitakeda
@keijitakeda
@ikepyon その脅威が現実に存在するなら末尾以外の英字インクリメントなど他の方法に移行すればよいのではないでしょうか。
2014-12-09 01:31:34
Ikeda Masakazu
@ikepyon
@keijitakeda しかし、現状はそういったデータが無い(or知られていない)ため、何となくISMSなどの規格が定期的変更を要求しているから要求していると言う状態だと思います。判断する根拠としてデータが欲しいと思った次第です
2014-12-09 01:34:03
Ikeda Masakazu
@ikepyon
@keijitakeda それはユーザーとしての判断ですよね。サービス提供側の判断基準として定期的変更の意味があるのかどうかを知りたいと思います
2014-12-09 01:36:16
keijitakeda
@keijitakeda
@ikepyon 適切な判断にはパスワードの類似性のデータだけでなく脅威側のデータも必要ですね。現実にはそういった攻撃が確認されずそれ以前のイグザクトマッチで現実に被害が多く発生しているというデータが存在し、現状の判断として1ビットでも違えば良いという考えになるのだと思います。
2014-12-09 01:38:08
Ikeda Masakazu
@ikepyon
サービス提供側としてはパスワードの定期変更を促すようにするのか、運用で不正使用を検出するようにするのかは担当が違うと思う
2014-12-09 01:38:44
keijitakeda
@keijitakeda
@ikepyon 先に書いたように現状においては1ビットでも違えば一定のリスク低減効果はあるのではないでしょうか。それがユーザー負担に見合うかどうかや効率性の面でどうかということは事業者の判断次第かと思います。
2014-12-09 01:42:20
Ikeda Masakazu
@ikepyon
@keijitakeda その判断指標として、どの程度のユーザーが以前のパスワードから推測できないパスワードを設定するのかを知りたいと思います。攻撃する側にすれば1ビット程度の違いは大きな手間にはならないと思いますので。
2014-12-09 01:44:59
keijitakeda
@keijitakeda
@ikepyon 先の論文では15%〜30%程度の人が類推可能なパスワードを設定するとしているように読めますね。その数字をどう判断しますか?
2014-12-09 01:48:09
Ikeda Masakazu
@ikepyon
@keijitakeda 私の感覚としては意外と低いと感じます。もっと多いと思っていたので。個人的には提供サービスの内容にもよりますが、この程度であれば定期的変更は意味があると判断するかもしれません
2014-12-09 01:52:22
keijitakeda
@keijitakeda
@ikepyon 私も同感です。この評価が妥当かどうかという問題はありますがオンラインで変更されたパスワードを実際に攻撃するのはそれほど簡単ではないように思います。
2014-12-09 01:57:45