次善の策として「パスワードの使い回し」を容認するというアイデア 60
ストーリー by hylom
臨機応変に 部門より
臨機応変に 部門より
あるAnonymous Coward 曰く、
使用する「パスワードはすべて異なるものにする」というのはセキュリティの常識だが、パスワードの設定が必要となるシーンが増えてくると、サイトごとのパスワードを全て覚えておくのも非常に面倒だ。そこでこれへの対策として、次善の策として「たとえ破られたとしても損失の少ないアカウント」に対してはパスワードの使い回しを許容するという案がMicrosoftとカナダのカールトン大学の研究者らによって提案されている(ITmedia)。
さらに、パスワード管理ソフトの使用やクラウドを使ったデータの保存についても、そのソフトやクラウドのマスターパスワードが推測されたり漏洩した場合の損害が大きいことから、注意するように警告を出している。
イミフメ (スコア:2)
弱いパスワードである必要は無い。
使いまわすなら、強いパスワードでも覚えていられるから。
Re: (スコア:0)
たとえば使いまわしパスワード+何らかの別に用いているパスワードをゲットされてしまっても
一方に弱いパスワードを使っていれば攻撃側に「ボクの考えた強いパスワード」の傾向を掴まれてしまう危険性が減る。
弱いパスワードを使うのはサービス自体へのセキュリティの期待が低いのも有るだろうし
別に用いているパスワード側を弱くする必然性は無いし
まったくの別人を演じきる自信があるのならば話は違うかもしれませんが
あほか (スコア:0)
これはない
既出 (スコア:1)
/.j でもパスワードが話題になるとこの考え方が出てきています。
重要なサイトのパスワードは厳格に、どうでもいいサイトのパスワードはどうなってもいい感じで。
ただ、これもここで指摘されていたのですけど、どうでもいいサイトが重要なサイトに格上げされることがままあります。
Re: (スコア:0)
自分もそんな感じ。
アカウント登録する時はいつも 捨てEmailアドレス と 捨てパスワード で登録。
その後、使ってみて良かったら 本物アドレス と パスワード管理ソフトのランダム文字列 に変更、って感じ。
独自ドメインメールのフェッチオールでアドレスは作り放題だから、サービスの重要性によってメールアドレスも変えてる。
なので、登録しようと思って入力すると「すでに登録されてます」って言われることがよくある。あぁ俺登録してたんだ、ってそのとき気づく。
で、捨てセットでログインできる。
他の方法 (スコア:1)
全く無駄な研究(?)とは言わないけどさぁ
MSはこんな事やってるより、しょーもないもん作ってゴリ押しするより
こういう事に役立つ物作ってゴリ押し普及させるべき。
Re: (スコア:0)
二度言うほど大事なことには思えませんね。
# 「こんな事より~」に続く外野の提案はどうしていつも
Re: (スコア:0)
xxすれば良いだけ
って書き捨てる奴らも
えーっと (スコア:0)
この論文らしきナニカに、いったいどんな価値があるのでしょうか。
概要を読む限り、益体のない話にしか見えないのですが……
Re: (スコア:0)
そんな常套句書いてどうしたいのでしょうか?
「なんか記事になってるし、なんか大っきな会社のことだし、自分には使い道がわからないけど価値があるに違いない!」なんて話を聞きたいわけじゃありません。
Re: (スコア:0)
何言ってんだこいつ
聞きたいわけじゃないなら、聞く必要なんかないしコメント残す必要なんてない
黙ってページ閉じろよ
Re: (スコア:0)
元ACとは別人だけどさ、しょうもないもの見ちゃったら
文句の一つも言いたくなる。黙ってなきゃいけない理由はない。
もしそう思うなら (#2641177) 、 (#2641329) こそ黙ってページ閉じればいい。
Re: (スコア:0)
しょうもない物に自らコメントを残す必要はないが
しょうもないものに付けられたコメントにコメントを付けることはしょうもなくない。
Re: (スコア:0)
必要はないかもしれないけど、文句を言いたくなった人が
文句を言うのは勝手でしょう。
このトピックは/.Jで取り上げるべきじゃないとは思わないけど、
自分に興味のない、アレゲとも思えないストーリを見たときには
こんなの採用すんな馬鹿編集者め、って言いたくなる。
えーっと (スコア:0)
この議論のツリーらしきナニカに、いったいどんな価値があるのでしょうか。
コメントを読む限り、益体のない話をしているようにしか見えないのですが……
Re:えーっと (スコア:1)
確かに、採用ストーリー自体にモデ出来てもいいのに、と思うことはある。
で、どっちが「次善の策」? (スコア:0)
元記事を読む限り
つまり、使い回しを容認する方が大事という主張だと読めたが。
正反対に解釈していませんか?>タレコミ主
Re:で、どっちが「次善の策」? (スコア:1)
「次善の策」って言葉の意味からすれば、元記事の方が日本語として意味がわからない。
(面倒を強いられる)弱いパスワードの使用や使い回しを排除する戦略に対する「次善の策」として
あたりが妥当じゃないかなー
うじゃうじゃ
Re:で、どっちが「次善の策」? (スコア:5, 参考になる)
元の論文 [microsoft.com]の結論部分をみた感じだと、そうじゃないらしい。
漏洩がもたらす損失と、ユーザーの負担を最小化することが目的なので、
「(面倒を強いられる)弱いパスワードの使用や使い回しを排除する」
のはユーザーの負担が大きすぎるので最善ではない、という主張の模様。
じゃあ、最善の策は?っていうと、一定期間のうちに漏洩する可能性Pと、漏洩した際の被害Lを
それぞれ数値化して、Pの総和とLの総和の積が同じくらいになるグループ単位で管理すると良い、らしい。
Pが全て同じくらいなら、Lに比例するので、個々のLが大きい時は小さなグループ、個々のLが小さな時は大きなグループになる。
# 内容が全然違う可能性があるので気になる人は論文を読んでください。
Re:で、どっちが「次善の策」? (スコア:1)
なるほど、最善や次善のものさしは単なる安全性ではなく「潜在リスクとユーザーの負担の積(あるいは総和?)が最小になるもの」で評価しようってことですね。
うじゃうじゃ
いいアイデア (スコア:0)
これでメールアドレスをパスワードにしようとすると「それは使えません」とか言ってくるサイトが無くなるといいね。
課金も住所も関係ないのにやたら無駄に厳重にするアホなサイトが多すぎ。
Re: (スコア:0)
しかも3ヶ月に1回強制的にパスワード変更させられる上に過去3回分記録されてる。
とかウザすぎる。
覚えきれないから同じものを付けるだけ。 (スコア:0)
1年に一度しか見ないようなメンバーサイトとか、なんでもかんでも登録させて、全部違うパスワードを覚えておけということが超人的能力だと自覚できない人間が多すぎ。
Re:覚えきれないから同じものを付けるだけ。 (スコア:4, すばらしい洞察)
1年に一度しか見ないメンバーサイトのパスワードなんて、
必要になったらそのたびにパスワードをリセットすれば十分なんだから、ランダムなパスワードにしてそのまま忘れちゃえばいいじゃん
そんなサイトのためにパスワードを使いまわすなんてダメ絶対
Re: (スコア:0)
よそはともかく、うちはすごく便利で有用なサイトなので、1年に一度しか見ないなんてことにはならない。
だから、ちゃんとしたパスワードをつけてくれ。
と、全てのサイトが言ってるのでは。
Re: (スコア:0)
1年に一度しか見ないようなメンバーサイトは不要なんじゃ
サイトの存在忘れてしまう方がいいだろう
Re:覚えきれないから同じものを付けるだけ。 (スコア:1)
>1年に一度しか見ないようなメンバーサイトは不要なんじゃ
>サイトの存在忘れてしまう方がいいだろう
ところが、1年に一度しか見ないようなサイトは実在するのです。
・ドメインの更新
・自動車保険の更新
など。
Re: (スコア:0)
なんで脳で記憶しようとするんだ…と思うが、
パスワード個別管理をしたことがない人は、いざログインしようと思った時に、
マネージャが手元に無い状況への恐怖感とかあるのかもなあ。
慣れればホント何でもない事だよ。
そりゃまあ手間は掛からないよりは掛かるし、タレこみに書かれている懸念も当然意識すべきではあるけど。
パスワード漏えいが発覚した時に、影響範囲のサイト全部思い出して、無害性を確認できる?
Re: (スコア:0)
自分はサイトやサービス名などからそこのパスワードを決定するパスワードルールを決めてます。
そうすれば、だいたいサイト毎に異なることになりますし、覚えるのはそのルール一つでいいので、
苦労してパスワード文字列をたくさん覚えたりパスワードマネージャ使うとかより、シンプルで安心
だと思います。
Re: (スコア:0)
なんかいろいろコメントついてるけど面倒なんで個別には対応できないけど
通常はこの手を使っている。でも、たまに通してくれないサイトがあるんだよね。大文字が必要とか特殊文字が必要とか言って。
ここで話題にしてるのは主に仕事関係の評価版ダウンロードとかそういったことのために登録を要求される場合で、
携帯持ち込み禁止とかが前提。
リセットすればいいという人もいるが、リセット簡単にできるサイトは危険。多くの有名人がそれでアカウント盗まれてる。
訪問頻度が低くて気が付きにくいならなおさら。
自分的には、サイト自前で管理するのはやめてID連携にしてほしい。
サービスを使わない以上の対策はない (スコア:0)
電子化された情報はいずれ漏洩すると思えば、それを頼らないのが最善と思うのだが。
ただし私はもう手遅れだ。
デジタル小物で (スコア:0)
USBメモリサイズのワンタイムトークン生成&表示器みたいな大きさで、
・一生忘れないだろうスーパーキーをまず登録
・各パスワードの登録名を登録
・スーパーキーと各パスワードの登録名から自動で個別パスワードを生成して記憶
・あとは、トークン上のボタン操作で各パスワードの登録名を選ぶと、
対応するパスワードが表示される
っていうシンプルなパスワード生成+閲覧ガジェットがあればなぁ、とは思います。
ファイル一つで (スコア:2)
を連結してハッシュ関数に通して文字種毎のパスワードに変換、という HTML with JavaScript 製パスワードジェネレータを作って PC やスマフォに入れています。
通信しない、結果をストレージに保存しないというところに安心感を感じています。
ファイルが漏洩しなければ安全ですし、ファイルが漏洩してもマスターパスワードが漏洩しなければ多分大丈夫です。JavaScript の演算結果はキャッシュに残ったりしない、という前提ですが。
Re: (スコア:0)
http://www.kingjim.co.jp/sp/pw10/
Re: (スコア:0)
PCや携帯通信端末のソフトと違ってネット越しに生データ抜かれる心配もないし。
持ってすぐの頃にはよく家に置き忘れていましたが最近は携帯電話同様「持ってるかな?」と確認するようになり置き忘れはかなり減りました。
Re: (スコア:0)
それならスーパーキーよりも指紋を使った方が便利に見えますけど、
やっぱり突破されちゃいますかね?
一般人は (スコア:0)
一般の人は「どうでもいいサイト」か「重要なサイト」かの判断つかないと思うんだ
Re: (スコア:0)
直接には金が絡むか否か
用心するなら名前・住所・電話番号などを登録しているか否か
といった所ですか
Re: (スコア:0)
区別がつかないような人はどうでもいいサイトにしか登録してないと思うよ。
月に数百円しか換金しないポイントサイトと預け入れ資産の数倍の信用取引できる証券会社
どっちが重要かわかるだろ。
Re: (スコア:0)
>月に数百円しか換金しないポイントサイトと預け入れ資産の数倍の信用取引できる証券会社
いや、一般の人はそんなの関係なく同じもの登録しちゃうもんなんだよ。
携帯電話の契約で4桁の数字の暗証番号を登録させられるけど、たぶん多くの人が銀行と同じはず。
Re: (スコア:0)
携帯電話の暗証番号、あんまり馬鹿にしないほうがいいかも。
こないだ、docomoの販売店で電話番号とその4ケタだけで
契約の変更ができた。
携帯電話本体やSIMも持ってなかったし、名前や住所も聞かれてない。
ってか、名前や住所は向こうが出してきた紙に書いてあった。
数百万、数千万置いてある銀行口座とはもちろん別にすべきだけど、
このスレの話からすると、月の小遣い程度しか入ってないような口座とだったら
一緒でもいいかもしれない。
つーか、それ以前に貯金用の口座にキャッシュカードなんて作らないよね、
その辺ちゃんと意識してる人なら。
こういう所こそ (スコア:0, 既出)
全く無駄な研究とは言わないけどさぁ
MSはしょーもないソフトとかOSとか箱とか猿マネ&ゴリ押しするより
パスワードのようなものに役立つ物作ってゴリ押し普及させるべきだよ。
どうでもいいサイトは (スコア:0)
一時メールアドレスでアカウント取得する。
もちろん情報もダミーで
階層化 (スコア:0)
自分はそれに加えてメルアド用のパスワードとどうでも良いサイト用のパスワードとメルアドを用意して、
金絡んでくるようなとこに登録するメルアドとパスワード(数個つくってできるだけ使いまわさないように)とは分離してる。
パスワードは大体小説中の普通の辞書に間違いなく載っていない用語を検索結果が出ないように軽くひねった(英語+英語日本語読み的な)もので生成して記憶してる。
損失の少ないアカウント (スコア:0)
ああ、hotmailとかskydriveのことですね!
で、複数のサービスで不正ログイン報告があがると (スコア:0)
ユーザの損失は少なくても
不正ログインに対応しなきゃいけない運営側は大変だね。
コピペを禁止しているサイト (スコア:0)
本題からはそれるが、パスワードマネージャーを使おうとすると障害になるパスワードのコピペを禁止しているサイト
あれは一体何がしたいのか?
強度を下げて使い回しをさせないと不都合でもあるのだろうか?
#例えば使い回しされやすいパスワードを横流しして収益を得ているとか
Re:コピペを禁止しているサイト (スコア:1)
決まっているじゃないですか。コピペによるパスワードの使いまわしを防いでるんですよ。
# 根拠も無く陰謀論めいたことを言う神経がわからない。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re: (スコア:0)
それよりも (スコア:0)
パスワードを使いまわすことを許容するくらいなら、紙に書いておいてお財布に入れておく方が良い。