パスワードを忘れた? アカウント作成
Close
11570015 story
セキュリティ

IPAがパスワードの使い回しに対し警告 47

ストーリー by hylom
成功率の差は何が原因か 部門より

漏洩したID/パスワードリストを使って他サイトへの不正ログインを試みる「パスワードリスト攻撃」と見られる不正アクセスが最近頻発しているが、情報処理推進機構(IPA)はこれを受け、「パスワードの使い回し」をやめるよう呼びかけを行っている

これによると、昨年8月より、公表されているものだけでも月1件以上のペースでパスワードリスト攻撃の被害が発生しているという。また、被害企業における「不正ログインの成立率」も掲載されているが、その成立率が9.98%と高い例もあったようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IPAがパスワードの使い回しに対し警告 More

  •  以前、ランダムなID(変更不可)を割り当てれば解決 [srad.jp] でも書きましたが、リスト型の攻撃はサービス提供者がランダムで変更不可なユーザーIDを割り当てて認証に用いれば完全に防ぐことができるのです。

     ちなみに、Yahoo! Japan ID のような公開IDを認証に使うのも望ましくありません。そのため、Yahoo! Japan は 認証用のIDを Yahoo! Japan ID とは別にするサービス [yahoo.co.jp]を提供しています。

     昔は、サービス提供者がユーザーIDを割り当てる方式が主流でしたが、最近になってメールアドレスをIDとするWebサービスが増えてきたのが、リスト型の攻撃が増えた本当の原因です。

     サービス提供者が割り当てたランダムで変更不可なユーザーIDは、利用者にとって暗記しにくいという問題点もありますが、利用登録時にメールや郵送などで受け渡して、紛失しないように手帳・ノートなどに書き留めれることを要求すれば良いだけです。ID はブラウザに Cookie で記録するような設計にすれば、毎回入力するというユーザーの手間も省けます。ID がしっかりといった強度を保っていれば、ユーザーがパスワードを使いまわしたとしても、問題は生じません。

     専門家の高木浩光さんも、次のように述べています [twitter.com]。

    おいおい、いつからパスワードを使い回さないのが利用者の責任になったんだ? 利用者にはパスワードを使い回す自由があると昔から言っているだろうが。

    • > サービス提供者が割り当てたランダムで変更不可なユーザーIDは、利用者にとって暗記しにくいという問題点もありますが、利用登録時にメールや郵送などで受け渡して、紛失しないように手帳・ノートなどに書き留めれることを要求すれば良いだけです。

      それってもしかしたらランダムに生成したパスワードをメモに書いておくのと似たようなもん?
      ランダムじゃないけど割り当てられたユーザ名でloginするのはパソ通では普通だったっけ。

      >ID はブラウザに Cookie で記録するような設計にすれば、毎回入力するというユーザーの手間も省けます。I

      そうしておくと、ユーザ/パスワードを盗む手間も割と省けるんじゃなかったっけ。
      #javascriptを使ってCookieを盗み取るデモとかどこかで見た気がする。

      シェア
      親コメント

      • Re: (スコア:0)

        by Anonymous Coward

        それってもしかしたらランダムに生成したパスワードをメモに書いておくのと似たようなもん?

        そんなもんですね。ただ、IDはIDであってパスワードではない、と言う点には留意したいものです。パスワードはパスワードでランダム生成してメモなりなんなりに保存しましょう。

        #javascriptを使ってCookieを盗み取るデモとかどこかで見た気がする。

        そういう穴もあるかもしれません。でも、それはそれとして穴を塞ぐことを考えましょう。IDとパスワードをどのようにしたところで、穴が開けばどうしようもないのはどうしようもない事ですから。

      • Re: (スコア:0)

        by Anonymous Coward

        >#javascriptを使ってCookieを盗み取るデモとかどこかで見た気がする。
        クロスサイトスクリプティング関係のデモだった気がします。

    • Re: (スコア:0)

      by Anonymous Coward

      ブラウザーに記録するのはまずいかと
      トラブルシューティングでクッキーなどの情報を消す必要があるので

      • ブラウザーに記録するのはまずいかと
        トラブルシューティングでクッキーなどの情報を消す必要があるので

        そういったケースのために、「利用登録時にメールや郵送などで受け渡して、紛失しないように手帳・ノートなどに書き留めれることを要求」しておきます。

        最近は、Gmail のような大容量・SPAMフィルター付きのWebメールが主流なので、多くのユーザーは、IDなどの重要な情報が書かれたメールを削除したり、メールアドレスを頻繁に変更したりしません。従って、書き留めたユーザーIDを紛失したとしても、受信メールから検索をかければ見つかるケースが多いと思います。

        シェア
        親コメント

    • Re: (スコア:0)

      by Anonymous Coward

      たまにランダムな英数字でIDを出すサービスがありますけど、間違いなく、そのサービスのIDは覚えません。

      パスワードもそうですが、IDやパスワードを忘れた時に使われる手段が、「秘密の質問」や「登録メールアドレスへのリマインダ送信」です。

      秘密の質問が、ソーシャルハックによってパスワードよりも脆弱であることはAppleのiCloudがやられた件ではっきりしました。
      登録メールアドレスにWebmailのようなものを使っている場合、そのWebmailが破られると複数のサービスへのアクセスがごっそり取られるという問題もあります。

      「パスワードを使いまわすな」ということも、それが原

      • 秘密の質問といいつつ、質問がリストから選ぶ形式なので、事実上の共通パスワードになってます。
        どのサイトでも「母親の旧姓」「出身の小学校」「初めて飼ったペット」とかですもん。
        これじゃあ「公開の質問」だと思う次第。しかも本人のこと知ってれば答えがわかってしまう。
        質問から入力させてくれよ、って思うのです。

        #「好きな電車」とかいう質問はもっとあっていいと思うの

        シェア
        親コメント

      • Re: (スコア:0)

        by Anonymous Coward

        > 「hogehoge_a」「hogehoge_b」というように、簡単なものにされるでしょう。

        リスト型攻撃への対策であれば、それでも十分だとは思いますけどね。
        願わくば、hogehogeの部分を十分に複雑にしてくれればというぐらいで。

        • Re: (スコア:0)

          by Anonymous Coward

          十分ではないけど、マシな程度ですね。
          hogehogeが複雑でも簡単でも関係なく、むしろ_aと_bの部分が複雑じゃないとダメです。

          パスワードリストの中に、
          hogehoge_a
          hogehoge_b
          なんてあったら、漏れていない他のパスワードを予想するのも簡単で、かえって危ない。

          となると、結局、「共通パスワード」+「複雑なパスワード」にするしかなく、そうすると「複雑なパスワード」なだけでもいいじゃないかという。

    • Re: (スコア:0)

      by Anonymous Coward

      呼びかけがあっても、使いまわしの自由はあるし使い回さない責任もないが、
      リスト型攻撃からの自衛として有効な手段であるというのもまた事実。

    • Re: (スコア:0)

      by Anonymous Coward

      おいおい、いつから ID を使い回さないのが利用者の責任になったんだ?利用者には ID を使い回す自由があると昔から言っているだろうが。

    • Re: (スコア:0)

      by Anonymous Coward

      以前のコメントでも指摘されてるけどこれな

      「ID」だというのなら、利用者がそれを紙に書いてデスクトップに貼ったり、他のユーザーに伝えることも許容しろよ?「ID」なんだから当然問題ないよな?

      • Re: (スコア:0)

        by Anonymous Coward
        同様に散々突っ込まれてたけど、リバースブルートフォースをしにくくするのに目が曇ってて
        単純な個人狙いのパスハックの強度を著しく下げる/ユーザーへの負担を増やす(複雑なIDと複雑なパス)のどっちかしかない道なんだよなー。

      • Re: (スコア:0)

        by Anonymous Coward

        問題ないよ
        ただしパスワードは他人には絶対教えてはいけないので、そんなことする意味がありません

    • Re: (スコア:0)

      by Anonymous Coward
      えっ、もしかしてさんざんに突っ込まれた内容が全く理解できなかったの?

    • Re: (スコア:0)

      by Anonymous Coward

      idをランダムに振るようなことができるのは登録に個人を識別しうる情報を要求して、id紛失をリカバリできるサイトだけだな。
      銀行とかクレジットなんかはすでにそういう方向性になっている。

      そういう情報を預かっていない、預けたくないサイトは多くの場合idとは別にニックネームとかペルソナとかいう公開名を登録する
      ことになってるよね。

      ランダムなidなんて面倒なだけだ。

    • Re: (スコア:0)

      by Anonymous Coward

      > 昔は、サービス提供者がユーザーIDを割り当てる方式が主流でしたが、
      > 最近になってメールアドレスをIDとするWebサービスが増えてきたのが、
      > リスト型の攻撃が増えた本当の原因です。

      これはどうかな?

    • Re: (スコア:0)

      by Anonymous Coward
      「ド素人の考えつくようなことはプロが既に考えて却下している」の典型例みたいな事例だな。
      IDを教えても構わないのにパス4桁で使いまわしてもいいって…単純な個人狙いのパスハックに対する強度を著しく落としているのに。

      完全にサービス提供側のことしか見てないな。
      当人にとっては身近な悪意を持った誰かにパスを抜かれる方が、見知らぬ誰かに抜かれるよりよっぽど痛いのに。

  • で、 (スコア:3, すばらしい洞察)

    by nemui4 (20313) on 2014年09月18日 15時24分 (#2678894) 日記

    現在、パスワードが必要なサービスを利用する分だけ個別にパスワードを設定して、さらにサービスによっては定期的にそれらの変更が必要で、さらに過去N回分のパスワードは利用できないとなると、一人でどんだけのパスワードを管理しないといけないことになるやらで。
    紙(手帳)に書くか、パスワード管理アプリに記録するか色々あると思うけど、もしそれが漏れたらすべてを失うことになりそうという不安もあり。
    もしそれらが本当に盛れたら、大急ぎですべてのサービスに対してパスワードを変更する必要もあるわけで。

    とか考えると、パスワード管理に費やす工数がものすごく必要になりそうな未来。
    ということで、そこの管理に対する新たなビジネスを創出するのが本当の狙いということですね。

    ・楽々パスワード管理術
    ・できるパスワード管理
    ・パスワード管理入門
    とかいう本も売れそう。

    もうユーザ(e-mailアドレス)/パスワードでの単純login辞めたらいいのに。

    #二段階認証はめんどくさいけどとりあえず安心して使ってる。

    • Re:で、 (スコア:1)

      by Fushihara (40722) on 2014年09月18日 15時42分 (#2678912)

      二段階認証すらダルいんで
      ログインしようとすると手元のandroid端末に「xxにログインしようとしています、よろしいですか」ってボタンが出てOK押したらログイン成功ってレベルに単純化して欲しい
      んでいくつもアプリ入れるのダルいからgoolge製でandroidにネイティブで搭載して欲しい

      シェア
      親コメント

      • Re: (スコア:0)

        by Anonymous Coward

        Twitterがそうやってる。

    • Re:で、 (スコア:1)

      by sakamoto (8009) on 2014年09月18日 16時33分 (#2678952) 日記
      なんか、サンプル画面に書いてあるパスワードをみんな使いそうですね。
      --
      -- 哀れな日本人専用(sorry Japanese only) --
      シェア
      親コメント

  • 親戚のおじさんのPCに貼ってある付箋紙がどんどん増えるじゃないか

  • どうでもいいサイトだから使い回してんだよ (スコア:1)

    by Anonymous Coward on 2014年09月18日 15時42分 (#2678911)

    覚えきれねえからメールアドレスと同じにしてんのに
    「メールアドレスと同じパスワードは使えません」とか言ってくるサイトなんなの?
    お前んとこ別に課金とか関係ないじゃん漏れても構わねえから雑にしてんのに何その強固なセキュリティ。
    「必ず大文字小文字を混ぜて下さい」「必ず数字を入れて下さい」「数字は使えません」だのサイトによってポリシー違いすぎるからこっちは「あれ?このサイトではどのパスワードだっけ?」となってめんどくさくなって使わなくなるんだよ

    お節介はやめてくんねーかな。雑なパスワード使っクラックされたらユーザーが悪い、でいいじゃん。
    過保護にしないでよ。

    • Re:どうでもいいサイトだから使い回してんだよ (スコア:2, 興味深い)

      by Anonymous Coward on 2014年09月18日 16時08分 (#2678928)

      と,大御所高木氏も申しております.
      >おいおい、いつからパスワードを使い回さないのが利用者の責任になったんだ? 利用者にはパスワードを使い回す自由があると昔から言っているだろうが。

      シェア
      親コメント

      • 使いまわされたパスワードをアタックに使う自由もあると昔から言われてることもあるある

        シェア
        親コメント

        • Re: (スコア:0)

          by Anonymous Coward

          使いまわされたパスワードをアタックに使う自由もあると昔から言われてることもあるある

          そのとおり。パスワードの使いまわしには危険があるが、人間には愚かな行為であっても自らの責任によって実行するという「愚行権」があります。

          • Re: (スコア:0)

            by Anonymous Coward

            しかし致命的な情報に紐付されていないサイトなら愚行の方が圧倒的に効率的ってのが有るから、それが悪いとは思えない。
            マズイのはその状況を致命的情報と紐付されているサイトでもやっちゃう奴だな。

    • そうなんだけどね (スコア:1)

      by Anonymous Coward on 2014年09月18日 19時22分 (#2679068)

      金絡むとこのほうが数字しか使えないとか、記号使えないとかしょぼいの強制されるんですよね。。

      シェア
      親コメント

      • Re: (スコア:0)

        by Anonymous Coward

        日本語とか使えれば機械的にはかなり強いと思うんだけどなぁ

      • Re: (スコア:0)

        by Anonymous Coward

        オリックス銀行のログインIDが口座番号で通販でもなんでも他人に口座番号教えるのあきらめた。
        定期満期になったら全額引きあげる。

      • Re: (スコア:0)

        by Anonymous Coward

        渡しが使っているメガバンクはワンタイムパスワードとか結構厳重なオプションもあるんだが。勿論無料。
        他ってそうでもないの?

        • Re: (スコア:0)

          by Anonymous Coward

          銀行はそれなりにあると思いますが、クレカは対応してないような?

    • Re: (スコア:0)

      by Anonymous Coward

      そうやってるユーザーがいっぱいいて、サービス側の非ではなく、リスト攻撃などで漏洩した場合でも、文句言う人が多いからだと思う。

      ユーザー側のパスワード管理の不手際のせいで漏れても、とりあえず謝罪とかしないといけないからなぁ企業は。
      かわいそうに。

      とりあえず、仕事となんの関係もないのに社員が犯罪犯したら会社が謝罪する、なんていうアホな謝罪文化のある日本では、リスクはできるだけ排除しないとね!
      ユーザーのセキュリティのためじゃない。企業がユーザーに文句言われないためにやってるんだ!

  • Googleアカウントでログインとかあるしー (スコア:1)

    by Anonymous Coward on 2014年09月18日 16時26分 (#2678946)

    ログイン認証の丸投げを利用してると、何をどうしようが、1個突破された時点で終わりなんですが…

  • キャッシュカードの4桁番号は守られる (スコア:0)

    by Anonymous Coward on 2014年09月18日 16時14分 (#2678934)

    パスワードの安全性なんて堂々巡りなんだから
    キャッシュカードの番号みたいにいつ漏洩しても保証してくれる体制づくりのほうが急務なんじゃないですかね
    あとRSAではない物理的なワンタイムパスワードの普及

  • サイト毎に (スコア:0)

    by Anonymous Coward on 2014年09月18日 19時21分 (#2679066)

    サイト名 + 固定文字列、というパスワードを使っていますがどの程度効果があるのやら。
    サイト名の部分を変えれば他サイトのパスワードも推測可能ですが、もうこれ以上複雑なパスワードを使う気にはなれません。
    パスワードに関わることなんでAC。

    • Re: (スコア:0)

      by Anonymous Coward
      パスワードを紙に書いちゃいけない、ファイルに保存してもいけない、などなどといった
      時代遅れの考え方に引きずられているからそうなるのです。(昔は正しかった)
      個人向けのサービスならパスワードを入力して安全な機器って自分のスマートフォンと
      自宅のPCしかないのだから、公式の専用アプリに覚えさるか、ブラウザに覚えさせる。
      パスワードを毎回入力することが間違い。

  • 専門家っていうレベルじゃねぇぞ (スコア:0)

    by Anonymous Coward on 2014年09月19日 17時57分 (#2679647)

    パスワードの使いまわしは
    どこでも開けられる万能の鍵を相手に預けたのと同じ事。
    ユーザー認証の為のパスワード設定のはずが
    全然意味の違うとんでもない事をやらかしてしまってるんだよ。
    なるべく避けよう、どころか絶対やってはいけない。

    それでもユーザーに責任はない
    パスワードの使いまわしが問題ないと言い張るのなら
    銀行の暗証番号を使いまわせよ高木先生。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond