1SPREAD情報セキュリティ勉強会に参加してきました

この記事は公開されてから1年以上経過しており、情報が古い可能性があります。

7/13の話で、すごい今更感。
Togetter: http://togetter.com/li/533192

「パスワードの定期変更という不自然なルール 2013」
講師は@ntsujiさんでした。

4月以降、Webサービスへの不正ログインが相次いでいる
大手サイトも!

攻撃
* ブルートフォース攻撃
* ディクショナリ攻撃
* リバースブルートフォース攻撃
* リスト型攻撃
といった攻撃種類があり、誰でも簡単にできるツールがある。

対策
* 強固なパスワードの設定

* 定期的な変更・・・はどうなのか?
=> 突破の可能性を低減
  => ??????
  => そもそも、アカウントロックやパスワードに桁数や文字種の強制をするなどしたほうがいいのでは

=> 突破後の被害拡大の防止
  => 被害を最小限に抑えるには「早期発見」「復旧」の仕組み
  => 長期的な視点だと保護したと言えるのかもしれない

=> 定期変更での効果が薄いように見えるが、ここに労力を割いていいのか。
  => パスワードの質がおちる
  => すべての人に強制するのは無理
  => 似たようなパスワードの使い回し

使い回し
* 複数のサービスで芋づる式に突破されてしまう
* サービスごとに個別に設定する
* 覚えきれない...
  => パスワード管理ソフト
    => 1Password
    => RoboForm
    => KeyPass
    => LastPass

  => 手帳などにメモ
    => 他人に見られなければよい

被害がでたら
* 被害者意識ではなく当事者意識を。
* 車とドライバーの関係
=> メーカは頑張ってエアバックだったり自動ブレーキがついてるけど、事故は起きる。

まとめ
* 定期変更は効果が薄い
* 定期変更は弊害を生む
* 使いまわしは本当に危ない
* サービス提供側だけの問題ではない

* セキュリティはみんなのもの、みんなで作っていきましょう


普段パスワードについてしっかり考えることもなかったので、とてもいい機会でした。
講師のスライドだけでなく、参加者同士のディスカッションタイムがあり、他の参加者がどんなパスワードを使っているのか、どのように運用をしているのか聞いたり、じゃあ実際どのように運用していくのが良いのか、いいパスワードとは何か、といったことをお話しました。

パスワード管理ソフトによっては、メモだったり、パスワードだけでなくそういう類のものを保存したりできるそうです。いいですね、導入しましょう。
(くろーむのパスワード保存に全部つっこんでいた)

前後の記事

Next:
Prev: