運営者情報

運営してるひと: @sters9

       

妻と猫と横浜あたりに住んでいる。最近は Go や Kubernetes や GCP をしています。 PHP や JavaScript もすこし。

プライバシーポリシー

tools.gomiba.co

アーカイブ

2021/02 (12) 2021/01 (8)

2020/05 (2) 2020/04 (2) 2020/02 (2) 2020/01 (1)

2019/12 (3) 2019/11 (2) 2019/10 (5) 2019/09 (3) 2019/07 (6) 2019/06 (4) 2019/04 (3) 2019/01 (2)

2018/12 (6) 2018/10 (4) 2018/09 (6) 2018/08 (7) 2018/07 (16) 2018/06 (7) 2018/05 (7) 2018/04 (5) 2018/03 (3) 2018/02 (10) 2018/01 (6)

2017/12 (8) 2017/11 (6) 2017/10 (10) 2017/09 (12) 2017/08 (12) 2017/07 (3) 2017/06 (1) 2017/01 (4)

2016/12 (5) 2016/10 (3) 2016/09 (1) 2016/07 (2) 2016/06 (1) 2016/04 (1) 2016/02 (1) 2016/01 (2)

2015/12 (1) 2015/10 (1) 2015/09 (3) 2015/06 (1) 2015/01 (1)

2014/08 (2) 2014/07 (3) 2014/05 (1) 2014/01 (7)

2013/12 (2) 2013/11 (4) 2013/10 (1) 2013/09 (1) 2013/08 (3) 2013/07 (4) 2013/06 (5) 2013/05 (2) 2013/04 (7) 2013/03 (1)

第1回SPREAD情報セキュリティ勉強会に参加してきました

この記事は公開されてから1年以上経過しており、情報が古くなっている可能性があります。

7/13の話で、すごい今更感。 Togetter: http://togetter.com/li/533192

「パスワードの定期変更という不自然なルール 2013」 講師は@ntsujiさんでした。

4月以降、Webサービスへの不正ログインが相次いでいる 大手サイトも!

攻撃

  • ブルートフォース攻撃
  • ディクショナリ攻撃
  • リバースブルートフォース攻撃
  • リスト型攻撃 といった攻撃種類があり、誰でも簡単にできるツールがある。

対策

  • 強固なパスワードの設定

  • 定期的な変更・・・はどうなのか? => 突破の可能性を低減   => ??????   => そもそも、アカウントロックやパスワードに桁数や文字種の強制をするなどしたほうがいいのでは

=> 突破後の被害拡大の防止   => 被害を最小限に抑えるには「早期発見」「復旧」の仕組み   => 長期的な視点だと保護したと言えるのかもしれない

=> 定期変更での効果が薄いように見えるが、ここに労力を割いていいのか。   => パスワードの質がおちる   => すべての人に強制するのは無理   => 似たようなパスワードの使い回し

使い回し

  • 複数のサービスで芋づる式に突破されてしまう
  • サービスごとに個別に設定する
  • 覚えきれない…   => パスワード管理ソフト     => 1Password     => RoboForm     => KeyPass     => LastPass

  => 手帳などにメモ     => 他人に見られなければよい

被害がでたら

  • 被害者意識ではなく当事者意識を。
  • 車とドライバーの関係 => メーカは頑張ってエアバックだったり自動ブレーキがついてるけど、事故は起きる。

まとめ

  • 定期変更は効果が薄い

  • 定期変更は弊害を生む

  • 使いまわしは本当に危ない

  • サービス提供側だけの問題ではない

  • セキュリティはみんなのもの、みんなで作っていきましょう


普段パスワードについてしっかり考えることもなかったので、とてもいい機会でした。 講師のスライドだけでなく、参加者同士のディスカッションタイムがあり、他の参加者がどんなパスワードを使っているのか、どのように運用をしているのか聞いたり、じゃあ実際どのように運用していくのが良いのか、いいパスワードとは何か、といったことをお話しました。

パスワード管理ソフトによっては、メモだったり、パスワードだけでなくそういう類のものを保存したりできるそうです。いいですね、導入しましょう。 (くろーむのパスワード保存に全部つっこんでいた)