2010年06月19日()<< 前の日記 | 次の日記 >>
この日の詳細

■1 Webサービスの開発者は、「多くの利用者は、どのサービスにもおんなじパスワードを使ってる。」って覚悟をもってなきゃいけないと思う。[http://twitter.com/keikuma/status/14822885070][セキュリティ] このエントリーをはてなブックマークに追加

パスワードの使い回しは大きなリスク、偽の確認メールで聞き出す手口も[http://www.itmedia.co.jp/enterprise/articles/1006/17/news030.html] という記事を読んで、以前のTweetを蒸し返してみる。
同社が英国、ドイツ、スウェーデンで1500人のインターネット利用者を対象に実施した市場調査によると、回答者の約20%が同一のパスワードを使い回していた。パスワードをメモ用紙などに書き留めている回答者もほぼ同数に上り、8%はパスワードを忘れてしまうために毎回パスワードを設定し直していた。
同じパスワードを使いまわすと危険という警鐘は常に鳴らされているが、実際の所、同じパスワードを使いまわす利用者が相当数存在すると言うのは事実の様だ。
この記事では、パスワードをメモすることに否定的な様だが、 パスワードを、メモしないことと、使いまわさないことは、現実問題としてはトレードオフの関係にある と考える。
むしろ、 「パスワードはメモしておけ」−MSのセキュリティ担当幹部、自説を披露[http://www.nantoka.com/~kei/diary/?20050526S4] の記事で紹介した様に、安全なパスワードをメモして安全に保管する方が、少なくとも、同じパスワードを使いまわすよりは、脅威を与える相手によるけども *1 、安全なのではなかろうか。
「メモするな」というセキュリティポリシーは、社内で一つのパスワードを使用し、同僚から守らなければならない状況の下で有効なものであって、家庭でいくつものサービスを利用する状況の下で有効なものでは無い筈だ。
ちなみに、私自身は、マスターパスワードをセットした上でブラウザに覚えさせる。 TrueCrypt[http://www.truecrypt.org/] で暗号化したファイルにメモする。 特に大切なパスワードに関しては、前半分をランダムに生成してメモして、後半は共通のものを使いまわす。 という運用をしている。
前置きが長くなってしまったけれど、ここまでは、「同じパスワードを異なるサービスに使わない様にしよう」という、利用者向きの話題。
それでも、同じパスワードを使う利用者がいる事実があって、あるサイトが、生のパスワードを記録する作りにしていたとすると、ユーザ情報が漏えいした場合、利用者に対して、例えばパスワードのハッシュを保存していた場合と比較して、より大きい被害が出ることは間違いが無い。もちろん、単純なハッシュよりも、ソルトが付いたハッシュ、サービス独自の秘密のソルトを付けたハッシュとした方が、より影響が小さくなるかも知れない。
もう一歩進めれば、そもそもパスワードを管理させるから、使いまわすリスクが増える訳で、サービスによっては、OpenIDなり、OAuthなり、場合によってはブラウザに覚えさせたり、メールでリカバリするのを前提で、サービス側からデフォルトパスワードを発給した方が、利用者が利用している他のサービスに危険を及ぼさないという意味で安全なのかも知れない。
サイトの作り手としては、利用者のパスワードを受け取ることには、常に責任が伴うことを意識する必要があるだろう。
*1: 例えば、家族にSNSのアカウントを覗かれたくない場合は、手帳にパスワードをメモするのは危険かも知れない。

■ 関連記事

詳細はこの日の詳細から

2005年06月19日()<< 前の日記 | 次の日記 >>
この日の詳細

■1休日 このエントリーをはてなブックマークに追加

図書館を二つ回った。諫早図書館で借りていた本を返して、たらみ図書館で10冊を借り出した。CDも2枚。
cover
アーティスト:ヤカール(ラシェル), ウィーン国立歌劇場合唱団, ベンケル(オルトルン), ホル(ロベルト), エクビルツ(クルト), ウィーン・コンツェントゥス・ムジクス, モーツァルト, アーノンクール(ニコラウス)
レーベル:ワーナーミュージック・ジャパン
定価:¥ 1,050
ASINコード:B00005HIFB
アーティスト:オムニバス, チャールズ・ゲルハルト, ナショナル・フィルハーモニック・オーケストラ, アントン・カラス, ロス・インディオス・タバハラス, アーサー・フィードラー, ボストン・ポップス管弦楽団, スリー・サンズ, シルヴァリー・ストリングス
レーベル:BMGファンハウス
定価:¥ 1,890
ASINコード:B00009V9L1

■ 関連記事

詳細はこの日の詳細から

2002年06月19日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1ぐる[ぐる] このエントリーをはてなブックマークに追加

■ 関連記事

詳細はこの日の詳細から

2000年06月19日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1 コンピュータジョーク[http://hp.vector.co.jp/authors/VA000092/jokes/index.html][CLIP] このエントリーをはてなブックマークに追加

がんばれ!!ゲイツ君[http://www.asahi-net.or.jp/~FV6N-TNSK/gates/] から間接的に。
「知識が多いほど報酬が少なくなる証明」とか、「C++秘話」とか。ツボった。

■ 関連記事

詳細はこの日の詳細から

以上、14 日分です。

指定日の日記を表示

前月 2021年10月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

予定

    ToDo

      link

      keikuma on Twitter

      keikuma Name:前田勝之
      Location:長崎市
      Web:http://www.nantok...
      Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

      サイト内検索

      Google AdSense

      Powered by hns-2.19.9, HyperNikkiSystem Project