2010年06月19日() << 前の日記 | 次の日記 >>
これまでの06月19日 編集

■1 Webサービスの開発者は、「多くの利用者は、どのサービスにもおんなじパスワードを使ってる。」って覚悟をもってなきゃいけないと思う。[http://twitter.com/keikuma/status/14822885070][セキュリティ] このエントリーをはてなブックマークに追加

パスワードの使い回しは大きなリスク、偽の確認メールで聞き出す手口も[http://www.itmedia.co.jp/enterprise/articles/1006/17/news030.html] という記事を読んで、以前のTweetを蒸し返してみる。
同社が英国、ドイツ、スウェーデンで1500人のインターネット利用者を対象に実施した市場調査によると、回答者の約20%が同一のパスワードを使い回していた。パスワードをメモ用紙などに書き留めている回答者もほぼ同数に上り、8%はパスワードを忘れてしまうために毎回パスワードを設定し直していた。
同じパスワードを使いまわすと危険という警鐘は常に鳴らされているが、実際の所、同じパスワードを使いまわす利用者が相当数存在すると言うのは事実の様だ。
この記事では、パスワードをメモすることに否定的な様だが、 パスワードを、メモしないことと、使いまわさないことは、現実問題としてはトレードオフの関係にある と考える。
むしろ、 「パスワードはメモしておけ」−MSのセキュリティ担当幹部、自説を披露[http://www.nantoka.com/~kei/diary/?20050526S4] の記事で紹介した様に、安全なパスワードをメモして安全に保管する方が、少なくとも、同じパスワードを使いまわすよりは、脅威を与える相手によるけども *1 、安全なのではなかろうか。
「メモするな」というセキュリティポリシーは、社内で一つのパスワードを使用し、同僚から守らなければならない状況の下で有効なものであって、家庭でいくつものサービスを利用する状況の下で有効なものでは無い筈だ。
ちなみに、私自身は、マスターパスワードをセットした上でブラウザに覚えさせる。 TrueCrypt[http://www.truecrypt.org/] で暗号化したファイルにメモする。 特に大切なパスワードに関しては、前半分をランダムに生成してメモして、後半は共通のものを使いまわす。 という運用をしている。
前置きが長くなってしまったけれど、ここまでは、「同じパスワードを異なるサービスに使わない様にしよう」という、利用者向きの話題。
それでも、同じパスワードを使う利用者がいる事実があって、あるサイトが、生のパスワードを記録する作りにしていたとすると、ユーザ情報が漏えいした場合、利用者に対して、例えばパスワードのハッシュを保存していた場合と比較して、より大きい被害が出ることは間違いが無い。もちろん、単純なハッシュよりも、ソルトが付いたハッシュ、サービス独自の秘密のソルトを付けたハッシュとした方が、より影響が小さくなるかも知れない。
もう一歩進めれば、そもそもパスワードを管理させるから、使いまわすリスクが増える訳で、サービスによっては、OpenIDなり、OAuthなり、場合によってはブラウザに覚えさせたり、メールでリカバリするのを前提で、サービス側からデフォルトパスワードを発給した方が、利用者が利用している他のサービスに危険を及ぼさないという意味で安全なのかも知れない。
サイトの作り手としては、利用者のパスワードを受け取ることには、常に責任が伴うことを意識する必要があるだろう。
*1: 例えば、家族にSNSのアカウントを覗かれたくない場合は、手帳にパスワードをメモするのは危険かも知れない。

■ 関連記事

今日のつぶやき

以上、1 日分です。

指定日の日記を表示

前月 2010年06月 翌月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project