Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2015年1月4日

年末の「朝まで生セキュリティ」を視聴した感想

2014年12月30日の19:00〜23:00位までの間、徳丸さん、辻さん、武田先生といったセキュリティ業界の有名人の方々が集まって、セキュリティに関するディスカッションを行い、その内容が Ustream で配信されました。

これならお金が取れるのではないかという豪華なメンバーと内容を無料で視聴できたことに感謝です。

時間が経ってしまったので、若干記憶があいまいになってしまいましたが感想を書いてみたいと思います。

さて、このメンバーが揃えばテーマはやはりパスワードをどのように扱うのかということですね。このテーマだけで2時間もディスカッションされました。

パスワードに関するディスカッションの結果は、以下の3点にまとまりました。

  1. パスワードはサービスごとに異なるものにする
  2. パスワードは強固なものを使用する
  3. パスワードの定期変更が意味がないというのは言い過ぎ

1に関しては、パスワードのリスト型攻撃が増えている現在、やむを得ない内容だと思います。

しかし、本来パスワードというのはサービスの提供側が守るべきもので、パスワードの使い回しをしていたとしても、ユーザーが被害を受けないようにすべきものであると思います。現状は、一部の脆弱性を持ったサービスからパスワードが漏洩することにより、パスワードのリスト型攻撃が成り立ってしまうようになりました。

サービスの提供者は、脆弱性を完全になくすことができない以上、パスワードが漏洩してオフラインで総当たり攻撃を受けてもパスワードを解析を困難にするようにする方法を採用するようにすべきでしょう。

具体的には、パスワードにソルトを含め、安全なアルゴリズムでハッシュ化してパスワードを保存することです。さらに言うならストレッチングも取り入れて欲しいところです。具体的な方法は以下の記事にまとめてあるので、参考にしてみてください。

2に関しては、パスワードに password や 12345、qwerty といった単純なものを使用しないということです。最低でも、パスワードは8文字以上で英数記号で3種類以上を使用する必要があります。
 
ですが、ディスカッションでも意見が出ていましたが、強固なパスワードをサービスごとに異なるものにするのは、人間の記憶力を超えているのではないかという指摘がありました。
 
これはもっともな指摘で、普段使用するパスワードはなんとか覚えられるとしても、あまり使用しないパスワードは忘れてしまいます。これを回避するには、紙にパスワードを思い出せる方法を記載するかパスワードマネージャーを使用する方法が提示されました。
 
どちらを採用しても構わないと思うのですが、パスワードマネージャーは一般ユーザーにはまだまだ敷居が高いですよね。
 
私もパスワードを自分の記憶から手放すのに抵抗があるので使用していません。その代わりパスワードの作成時にルールを作成し、サービスごとに異なるパスワードを使用しています。具体的なパスワードの作成方法は以下の記事を参考にしてみてください。 
 また、パスワードをより強固に守るために、サービス側が提供している二段階認証を利用するというのがあります。私も主要なサービスで利用していますが、現実の利用者はどうも少ないようですね。
 
3のパスワードの定期変更については、予想通りというべきか一番議論が盛り上がりました。
 
盲目的なパスワードの定期変更に意味があるのかという点、パスワードの定期変更に本当に効果がないのかという点が主要な論点でした。
 
結論としては、パスワードの定期変更にはある程度の効果はあるので、パスワードの定期変更に意味がないというのは言い過ぎということになりました。但し、パブリックなサービスと社内サービスでは位置づけが異なるという指摘があったことは付記しておく必要があります。
 
ですが、個人的にはパスワードの定期変更は現実的ではないというのが私の所感です。サービスごとに異なるパスワードで、強固なパスワードで、なおかつ定期的にパスワードを変更するのは、どう考えても人間の記憶力を超えていますし、費用対効果が悪いと思います。
 
理想的なのが、OpenID が目指した1つの認証局で複数のサービスにログインできるというシングルサインオンです。OAuth もその形態の1つですね。ですが、1つのサービスで本当に認証をまとめてしまうと、認証局がダウンしたら、全てのサービスが利用できなくなるという問題も含んでいるので単純ではないですね。複数の認証サービス、例えば、Facebook と Twitter の両方でログインできるようにするというのが落とし所ではないでしょうか。
 
パスワード以外にも、日本のセキュリティは本当に世界から遅れているのかという議論や、相手にしてはいけない専門家や、PSN(PlayStation Network)への攻撃についてなど興味深いテーマもあったのですが、この記事でもパスワードだけで長文になってしまったので(笑)、この辺で記事を終わりにしたいと思います。
 
最後に、年の瀬の忙しい時に、これだけの内容を無料でディスカッションし配信してくれた方々に感謝します。今年も行われるかは分かりませんが、もしあればまた視聴したいですね。

 


スポンサーリンク




カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA