7/13の話で、すごい今更感。 Togetter: http://togetter.com/li/533192
「パスワードの定期変更という不自然なルール 2013」 講師は@ntsujiさんでした。
4月以降、Webサービスへの不正ログインが相次いでいる 大手サイトも!
攻撃
- ブルートフォース攻撃
- ディクショナリ攻撃
- リバースブルートフォース攻撃
- リスト型攻撃 といった攻撃種類があり、誰でも簡単にできるツールがある。
対策
-
強固なパスワードの設定
-
定期的な変更・・・はどうなのか? => 突破の可能性を低減 => ?????? => そもそも、アカウントロックやパスワードに桁数や文字種の強制をするなどしたほうがいいのでは
=> 突破後の被害拡大の防止 => 被害を最小限に抑えるには「早期発見」「復旧」の仕組み => 長期的な視点だと保護したと言えるのかもしれない
=> 定期変更での効果が薄いように見えるが、ここに労力を割いていいのか。 => パスワードの質がおちる => すべての人に強制するのは無理 => 似たようなパスワードの使い回し
使い回し
- 複数のサービスで芋づる式に突破されてしまう
- サービスごとに個別に設定する
- 覚えきれない… => パスワード管理ソフト => 1Password => RoboForm => KeyPass => LastPass
=> 手帳などにメモ => 他人に見られなければよい
被害がでたら
- 被害者意識ではなく当事者意識を。
- 車とドライバーの関係 => メーカは頑張ってエアバックだったり自動ブレーキがついてるけど、事故は起きる。
まとめ
-
定期変更は効果が薄い
-
定期変更は弊害を生む
-
使いまわしは本当に危ない
-
サービス提供側だけの問題ではない
-
セキュリティはみんなのもの、みんなで作っていきましょう
普段パスワードについてしっかり考えることもなかったので、とてもいい機会でした。 講師のスライドだけでなく、参加者同士のディスカッションタイムがあり、他の参加者がどんなパスワードを使っているのか、どのように運用をしているのか聞いたり、じゃあ実際どのように運用していくのが良いのか、いいパスワードとは何か、といったことをお話しました。
パスワード管理ソフトによっては、メモだったり、パスワードだけでなくそういう類のものを保存したりできるそうです。いいですね、導入しましょう。 (くろーむのパスワード保存に全部つっこんでいた)