パスワードを忘れた? アカウント作成

「ログインしたまま」「ブラウザにパスワードを記憶」を利便性重視と評価、フィッシング対策協議会」記事へのコメント

  • by Anonymous Coward on 2020年09月11日 17時08分 (#3887284)

    よく「パスワード管理ソフトがウイルスでやられたら!」って否定する奴居るけど
    パスワード管理ソフトからパスワードが流出する事例と比べたらネット経由でサイトが陥落するケースの方が100000000万倍多い
    特に「人の頭で考えた・人が記憶するパスワード」が突破されるケースがほとんど

    どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強
    そして生体認証でショルダーハッキング対策すれば完璧

    ここに返信
    • ランダムで強度の高いパスワードを使う必要があったのは、多要素認証が無くパスワードに依存していた時代。

      今のみずほ銀行だったら、振込機能の悪用には

      (1) お客さま番号 (≠口座番号) … 知識情報 または 所持情報 (書かれているカードがあるため)
      (2) いつもと違う環境からのログインの場合、秘密の質問の答え1 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)
      (3) いつもと違う環境からのログインの場合、秘密の質問の答え2 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)
      (4) ログインパスワード … 知識情報
      (5) ハードウェアトークンのテンキーに振込先口座番号を入力して生成するタイムベースのHMAC (トークンを使用している場合) … 所持情報

      の5つがいる。

      例えば、上記のみずほ銀行のサービスの場合、インターネット経由での悪意のある人物による不正振り込みはハードウェアトークンに口座番号を入力できない時点で不可能なので、そもそもオンライン攻撃を防ぐためにパスワード強度を高める必要はまったくない。

      (5) で所持認証は既になされているので、ログインパスワードを記憶せずに、ログインパスワードの強度を上げて端末に保存させれば、せっかくの多要素認証が「所持情報」だけになってかえって強度が低下してしまう。

      例えば、家に侵入した泥棒や家族が振込機能を悪用しようとしたとき、それを確実に防ぐにはログインパスワードを「知識情報」として使用するしかない。
      多要素認証があるサービスでは、例え強度を犠牲にしても、ログインパスワードは記憶すべきだ。

      パスワードを端末に保存させた時点で、「知識情報」が「所持情報」に変化するので、多要素認証ですらなくなることを認識すべき。

      ※なお、いまだに多要素認証に糞サービスならば、強度の高いランダムパスワードをブラウザ等に保存するのが良いだろう。

      • 暗記して手入力する行為に慣れている方がフィッシング詐欺に利用されやすいっていう理論だと思います。

        • by Anonymous Coward

          暗記して手入力する行為に慣れている方がフィッシング詐欺に利用されやすいっていう理論だと思います。

          付箋に貼ってあるから大丈夫!

          # ユーザーは斜め上が常である

      • by Anonymous Coward

        秘密の質問って、友人とか近親者に対しては秘密じゃないし、SNSとかの情報から類推できたりするので信用してない。
        結局、ランダムに生成した文字列をログインパスワードとかと一緒にパスワードマネージャーに覚えさせてる。
        (もちろん、パスワードマネージャーのパスワードは頭の中にしか置いていない)

        • by Anonymous Coward

          秘密の質問は、不特定の口座番号やお客様番号を手当たり次第にアタックされることを防ぐ程度のもの。

          例えば、パスワードを固定し、リバースブルートフォースをしようとした場合、秘密の質問で阻まれる。それだけのためにパスワードのような他人が推測できない文字列を設定する意味はない。

          そんなところに労力を使うより、パスワードの強度を上げるほうが利便性の面でもセキュリティの面でもマシだと思うよ。

      • by Anonymous Coward

        「多要素と言えなくなる」という原理主義的にはそうだとしても
        現実には「暗記したパスワード」が突破されるケースが一番多いって事実があるよね
        これはどうして無視していいことになるのかな

      • by Anonymous Coward

        わざわざ強調していて重要と考えているところ恐縮だけども
        「もうパスワードなんていらないよね?」
        の方向にセキュリティ業界は進んでいます
        "パスワードレス認証" のキーワードをもしご存じなければご一考ください

        • 頭いいこと言っているつもりなんだろうけど、"パスワードレス認証" っていうのは、ログイントークンや公開鍵認証の秘密鍵を端末に保存することを前提としており(「所持情報」に該当)、
          その上でローカル認証の PIN(知識情報)や 指静脈認証等 (生体情報) を組み合わせることをセキュリティ上推奨している。

          サーバに送信するパスワードでも、ローカル認証のPINでも、多要素認証を考える上での知識情報に該当するのは同じこと。

    • by Anonymous Coward on 2020年09月11日 17時12分 (#3887290)

      要出典:100000000万倍多い

    • by Anonymous Coward on 2020年09月11日 17時17分 (#3887298)

      ブラウザにパスワード管理機能があるなら、そちらを優先して使用した方が良い。
      入力されるパスワードとドメインやURIが関連付けられているのでフィッシングに強くなる。

      • ブラウザに記憶させたら、寝ている間にスマホの指紋認証突破されたり探偵にグミ指で指紋認証突破されたりして身内に情報盗み取られるな
        どうもセキュリティオタクって独身が多いせいか同居者に悪用されるケースを全然考えていない人が多すぎる
        実際はクレカの不正利用などの金融犯罪でも同居者・家族・親族が圧倒的多数だってのに

        • by Anonymous Coward

          そういうことできる時点で、パスワード管理ツールの問題じゃないっての。
          別のセキュリティソリューション導入しろ。

          • パスワード覚えて毎回ログアウトするだけでいいんですけどねぇ
            それを「セキュリティソリューション」とは大げさな

            • by Anonymous Coward

              ぜんぜん覚えられない

              • パスワード覚えられない人って、漢字も書けなそう
                常用漢字半分ぐらいしか書けなそう

                脳トレだと思ってパスワードぐらい覚える訓練した方が良いよ

              • by Anonymous Coward

                デスクトップとノーパソ三台程度のログインパスワード
                パスワード管理ツールのパスワード
                管理ツールに入れづらいパスワード
                3行の銀行口座の暗証番号
                クレカ2枚のPIN番号

                これでトータル10件くらいなら覚えられそう
                ただし長いのは2件分・3件分カウントになりそう

              • by Anonymous Coward

                老害はネットしないからそれで済むんだろうけど、一般人は数年で数百個くらいアカウント使い捨てるからね

              • by Anonymous Coward

                使い捨てるようなアカウントのパスワードなんて使いまわしでいいのでは

                例えばスラドのパスワードとかね

              • by Anonymous Coward

                オンラインショップのアカウントだけでも結構あるからね
                ドコモ口座とか7payのように勝手に課金機能や個人情報関連が追加されること考えたら
                使い回しはあり得ない

              • by Anonymous Coward

                おまえは64文字〜100文字のパスワードを毎回覚えてるのか?すごいね

              • Re: (スコア:0, 興味深い)

                by Anonymous Coward

                64文字〜100文字にする必要性自体無いんだけどね
                仮にランダムな英数字だとしたら6文字超えたあたりからオンライン攻撃での突破は不可能になり
                10文字を超えたあたりからパスワードハッシュが漏洩したときのローカル攻撃までも不可能になる

                100文字とかいってるけどbcryptの72文字制限のせいで長すぎるパスワードはかえって脆弱になる恐れがあることを分かっているんだろうか
                https://blog.tokumaru.org/2019/02/caution-bcrypt-with-sha512.html [tokumaru.org]

              • by Anonymous Coward

                そこまでアカウントを使い捨ててるような奴は一般人とは呼べねーよアホか

            • by Anonymous Coward

              お前が今まで食ったパスワードの数を数えろ

            • by Anonymous Coward

              スマホ乗っ取られてる時点で基本的にはアウトだよ。
              メールやSMS見るのにパスワードが要るならまだ助かるかもしれないけど、そうでなきゃ大半のサービスはパスワードリセットできる。
              そもそも身内を攻撃者と想定するなら、スマホを操作されること自体が重大なリスク。
              個別のWebサービスよりスマホのロック解除対策しないとセキュリティなんて絵に描いた餅でしかない。

        • by Anonymous Coward

          フィッシング対策協議会としてはフィッシング被害でなればソーシャルクラッキングで被害を受けようとも問題無いのです!!

          指紋認証、あれはダメですわ
          スマホだとある程度の間隔でパスワードを要求されるとは言え、寝ている時に使われる事を防止できない
          割とある話だと、配偶者などがスマホのロックを解除してというパターンをよく聞きますが
          妹の家庭では、妹がリビングでTV見ながら寝てしまった時子どもにiPhoneを指紋でロック解除された後ソシャゲの課金を指紋で承認させられたとのこと
          家の中で限定で古いiPhoneで許可した時間のみ使わせていて、誕生日とかだけ少額課金していたのに満足できず犯行に走った模様
          お使いの時こそっと物理ガチャ1回ずつ回してた私と妹の子ども自体とは(しかもバレてた)、同じガチャ回すにしても時代が変わったものです

        • by Anonymous Coward

          まあそのパターンならパスワード管理ツール使っても同じこと。

        • by Anonymous Coward

          瞬き必須の顔認証でもすれば

        • by Anonymous Coward

          パスワード管理ツールは関係ないな。
          指紋認証やめろ

    • by Anonymous Coward on 2020年09月11日 17時53分 (#3887331)

      先般redditで話題になっていたこの表を見て
      https://www.reddit.com/r/dataisbeautiful/comments/ihpo84/oc_i_hope_you... [reddit.com]
      アルファベット+数字+スペース程度でも十分に長い文字列であればそれでよい
      英数大小記号ランダムであっても8文字程度では不十分
      と考えを改めるに至った

    • by Anonymous Coward

      どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強

      コピペできず手入力させられたり、口頭で伝えさせられたり、記号や文字数で動作不良を起こしたりするので、安易にこれをやると後々面倒になる。

    • 警察に家宅捜索or任意の捜査に協力して「パスワード管理ソフト」が入ったパソコン押収されたら、自分のアカウントにすらログインできなくなるよ
      押収されたパソコンはいつ帰ってくるか分からないし全てのアカウントを失うことになる

      受験勉強で無意味に思えるような文字列、例えば歴史の年号とか人名・国名を何百と暗記した記憶あるだろ?
      ほんとに重要なパスワードなんてせいぜい20か30しかないんだから、それぐらい十分な強度を持つものを暗記すれば良い

      それに暗記したパスワードは「黙秘」するだけでなく、「忘れた」ことにもできるし、逮捕されて何日も打ち込んでないと強度の高いパスワードは忘れないように頭の中で打ち込む努力をしないだけで本当に忘れるので、忘れるか忘れないかを自分の意思でコントロールできるというメリットもある

      • by Anonymous Coward

        パスワード管理ソフトのファイルなりをバックアップ、あるいは多重化しとけよ

        • 警察なめない方がいいよ
          パソコン・スマホ・外付けHDD・USBメモリどころか、ルータやスイッチングハブまで電子機器まるごと押収するから(というか何だか区別できない人が押収しているだけかも)
          パスワードを書き留めた紙・手帳なんかも見つかったら押収される

          • by Anonymous Coward

            じゃあ司法権の及ばない東欧のクラウドとかに置いとけば

      • by Anonymous Coward

        パスワード管理ソフトのデータベースをパスワードで暗号化してクラウドに保管しとけ
        というか普通はそうなってるぞ

        • by Anonymous Coward

          無限ループですな

        • by Anonymous Coward

          暗号化のパスフレーズとクラウドサービスのパスワードは覚えていられるのか?
          普段からパスワード管理ツール使う生活していて頭使っていないと、普段使っていないパスワードなんて忘れちゃうんじゃないかな

          それとGoogleドライブとかだと普段と違う端末からだと「いつもと違う環境です」とか言われてSMS認証要求されたりするがスマホ押収されているとログインできなくなる

          • by Anonymous Coward

            ブラウザの共有機能を暗号化したら、パスワード忘れて復元できなくなったのが私です。

          • by Anonymous Coward
            どうせスマホは返ってこないか返ってきても数ヶ月後なんだから新しいの買ってSIM再発行しろ
          • by Anonymous Coward

            よっぽどパスワード管理ソフトの主流化が悔しいと見える

      • by Anonymous Coward

        警察に家宅捜索or任意の捜査に協力して「パスワード管理ソフト」が入ったパソコン押収されたら、自分のアカウントにすらログインできなくなるよ

        そんなもんパソコン壊れたって発生する話なんだから、バックアップしろや。

        ほんとに重要なパスワードなんてせいぜい20か30しかないんだから、それぐらい十分な強度を持つものを暗記すれば良い

        20も30も覚えられねーよ。

        ※私は KeePass Password Safe 2 と Kee on Firefox 利用派。

      • by Anonymous Coward

        Yubikey複数枚設定して分散して保管しろ

    • by Anonymous Coward

      それって理屈じゃなくて「なんとなく」の感覚的な問題だと思うんだよな。
      飛行機って事故の確率を考えたら極めて安全な乗り物なのに「落ちたら怖い」って乗れない奴が
      その1万倍以上は危険な高速バスには平気で乗るみたいな。

      パスワード記憶だって「なんとなく危険」って根拠レスの考え方でGPOで禁止してる情シス多いじゃん。
      毎回手入力させたら「なんとなく安全なことやってる感」があるだけの自己満足しかない話だけど、
      そんな環境に慣れたユーザはフィッシングサイト踏んでもパスワード入れるだろうなw

      • by Anonymous Coward

        飛行機が怖いのは危険だからじゃなくて、高いからだから……。
        バスもすぐ横が崖みたいな道を走ってる間は怖くて仕方ないよ。
        飛行機怖がるやつもバスは平気ってのは正しくないよ、走る道によるよ。

    • 各銀行やクレカの約款やら注意事項見てみ
      パスワードを管理ツールやクラウドサービスに保存したり書き留めるなと書かれているから

      オレが考えた最強のセキュリティを実践すると不正利用されたとき補償が効かなくなって痛い目に遭うぞ

      • by Anonymous Coward

        管理ツールからの流出ならそうだろうけど
        裁判でそういう規約が有効と判断される保証はないよ

    • by Anonymous Coward

      今日久々に迷惑メールボックスを見たら、adobeがお漏らしした時に使ってたパスワードが件名になってるメールが届いてました 英語読めないんでサラッと見た感じビットコインで1万ドルをワイに払えや😎ってメールだったんで即削除しましたけど、やっぱり当時漏れたID/Passはまだどっかで漂ってるんですね

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...