記者たちはパスワードをどう管理しているのか? またはドクターフィッシュの秘密:記者トーーク!(3/4 ページ)
テクノロジー関連のあれやこれやについて、ITmedia NEWS編集部のメンバーが、あーでもない、こーでもないとよもやま話を繰り広げる「記者トーーク!」。第1回は、「パスワードを紙で保存するのは危険? Twitter上で賛否 安全な管理方法をIPAに聞いた」について。
困ったパスワード
サイトウ かなりパスワードの管理が面倒なことになっていますが、世間のパスワードを使うサービスに対して、物申す点とかありませんか? ぼくは、かなり減ったにしても未だに定期的なパスワード変更を求めてくるサイトがとても気になっています。
キーチ 利用頻度が低いサービスで定期的なパスワード変更を求められると、ログインのたびにパスワード変更することになったりしますよね 。
タニイ パスワードの定期更新って、やるやらないが宗教っぽくなってきてますよね。
サイトウ セキュリティ界隈でも、意義が割れているんですか?
タニイ 割と最近、NISTで方針転換がありましたよね。
キーチ もう「定期変更はするべきでない」という話になったはず。
タニイ ただ今でも定期更新を要求するサービスは多い。
サイトウ 大きな声じゃいえませんが、更新求められると明らかにパスワードがインクリメンタルになってしまう。。。
キーチ 「前回、前々回のパスワードは設定できません」とか言われて、じゃあ3つ用意して使い回します、とかもあるあるですよね。
サイトウ なるほど、その手があったかw
サイトウ パスワードを頻繁に変更させるなら、最初から全部メールアドレス宛にパスコード送ってくる認証でもいい。SMS認証がかなり普及したので、スマホ系のサービスではそういうのもけっこう増えました。
キーチ あー、それで言うと、最近Twitterで「スマホをなくしたときの処理をしたいのにSMS認証が必要で詰んだ」的な話を見かけましたw
ヨシカワ ああ、そういうリスクがあるのか……そりゃそうだ……。
サイトウ ほんと、スマホをなくすといろいろなものが詰んでしまう時代ですね。
サイトウ 僕もコアパスワード方式を使っているのですが、サービスによっては、記号は使えません、大文字は使えません、とか、文字数は8文字以内で、とか妙な制限があって、困っています。同じコアパスワードを使えないんですよ。
キーチ サービス側で余計な制限すな、という話ですね(定期変更しかり)。
サイトウ せっかく記号とか数字、大文字入れて、長いパスワードを用意しているのに、なぜ短くないとダメ! と言われるのか。
ヨシカワ そして特例で作ったパスワードを忘れる、という……。
サイトウ パスワードを使わない認証方法も、最近開発が進んでいるみたいですが、期待できそうでしょうか?
タニイ 最近だとFIDO2ですかね。
サイトウ ざっくり、どんな仕組みなんでしたっけ?
タニイ FIDO Allianceっていうのがパスワードレス認証技術の業界団体なんですけど生体認証機や認証デバイスを使ってパスワードレスにするものです。
サイトウ もうパスワードを覚えなくてもいい世界が、まもなく来る???
キーチ ちょっとそれに関連したエピソードが最近ありまして、
関連記事
- パスワードを紙で保存するのは危険? Twitter上で賛否 安全な管理方法をIPAに聞いた
パスワード管理を巡って、とあるメモ帳がTwitter上で話題になっている。メモ帳には、サイト名やID、パスワードを記載する項目があり、紙媒体でパスワード管理するための商品とみられる。これについて、賛否両論のさまざまな意見が飛び交っている。 - 神戸市がデータ入力前のメモ紛失、個人情報なくす 改善策は「紙媒体で残さない」
神戸市が、飼い犬の死亡・住所変更に際して提出された個人情報100件超を紛失した。業務を委託していた神戸市獣医師会のミスという。同会では電話で届け出を受けたとき、ノートにメモしてからデータベースに入力していたが、データ化前にメモを紛失した。 - 島根の県立病院、約2万5000人分の個人情報入り端末紛失 1年半前から行方不明
島根県立中央病院の患者約2万5000人分の個人情報が入った電子カルテ用端末の所在が、2021年3月9日以降分からない状態という。県は端末の捜索を続けるとともに、再発防止策を講じるとしている。 - またUSB紛失 患者の個人情報入り、杏林大病院 院外持ち出し禁止のはずが
杏林大学医学部付属病院の医師が、患者の個人情報入りUSBメモリを紛失した。紛失したUSBメモリはパスワードロックなどがされておらず、30日時点でUSBメモリは発見できていない。個人情報の漏えいなどの事実は確認していないとしている。 - GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う
米Uber Technologiesやゲームメーカーの米Rockstar Gamesのネットワークが不正侵入を受け、情報が流出する事件が相次いだ。各社とも多要素認証で従業員のアカウントを保護していたが、攻撃者はプッシュ通知を大量に送る“多要素認証疲れ”を手口に利用していた。
Copyright © ITmedia, Inc. All Rights Reserved.