1. まとめトップ

総務省「パスワードの定期変更」推奨はパスワードマネージャ前提?高木浩光先生の怒涛の指摘まとめ

総務省が公開した「リスト型アカウントハッキングによる不正ログイン」の対策集に対する指摘をまとめています。

更新日: 2013年12月21日

emo.tamさん

  • このまとめをはてなブックマークに追加
19 お気に入り 66244 view
お気に入り追加

▼ 繰り返し投げかけられてきた「パスワードの定期変更」への指摘

「リスト型不正ログイン攻撃」の対策として盲信されることがある「パスワードの定期変更」。以前から徳丸先生をはじめセキュリティ専門家の方々からその有効性について疑問が投げかけられていました。

▼ 一方で「パスワードの定期変更」の推奨を続ける総務省

パスワードの定期変更ルールって本当に頭が悪いと思って会社でも見直せって言っているんだけど、結局みんな総務省のやつを参照しているせいで直せないんだよな。

パスワードを定期的に変更しなければならない理由には、以下のようなものがあります。
・他人に推測されにくいパスワードでも、ハッキングツールを使って長時間かければパスワードが割り出されてしまうこと
・仮にパスワードが割り出されてしまっても、なりすましなどの被害を受け続けることを避けることができること

総務省が公開していた「情報管理担当者のための情報セキュリティ対策パスワード管理の推奨」の記載。

はい。専門家の皆さん、総務省にそう言ってやってください。 / “管理者パスワードは定期変更ではなく、ルールを決める | 水無月ばけらのえび日記” htn.to/kcq8E4

総務省に言っても無駄で、総務省の集めた先生方に言わないといけないと思います。ぜひ言いたいですね RT @zannenform: はい。専門家の皆さん、総務省にそう言ってやってください。 / “管理者パスワードは定期変更ではなく、ルールを” htn.to/kcq8E4

「総務省の集めた先生方」については後半に関連ツイートをまとめています。

あのWGの中の人みんな忙しそうな人ばかりだけど、誰が手を動かしてこれ書いたのか気になる

▼ 生み出される「パスワードの定期変更」の弊害

パスワードを定期的に変更させることを強制させ、且つ、過去に利用したパスワードの再利用も禁止した場合、恐らく多くのユーザは末尾に数字をつけるでしょう。そしてその数字をカウントアップしていく。それはどの程度意味があるのでしょうか?

パスワードを記録するチェックボタンのおかげで、変更後に自動ロックされていちいち電話かけてこられてドンだけ無駄な時間を割いているかとか。

会社のパスワードポリシーが「大文字小文字数字の3種類を使うこと」「3か月に1回変更すること」「過去3回分のパスワード再利用禁止」と制約を増やしていった結果、皆パスワードを付箋でベタベタ貼るようになった。「ハードルを上げすぎるとくぐる奴が出る」という実例を見た気分。

▼ 事態が進展しない中、12月18日、あらためて総務省が「パスワードの定期的変更」を掲載した「リスト型アカウントハッキングによる不正ログイン」の対策集を公開し、反響を呼ぶ

総務省の文書はこれ以外にもパスワードの定期変更を推奨しているものがあり、社内の教育資料の参考リンクからそっと外したことがあった。今回の文書ついては更にリスト型攻撃の責任の所在を混乱しているような。 / “TakagiHiromit…” htn.to/RnHPCx

総務省の対策集、インターネットサービス事業者向けなのに、組織内の話がでてきたり、事業者の対策とユーザの対策が並列で書いてあったり、リスト型への対策とその原因となるアカウント情報の漏洩への対策が一緒にでてきたり。定期的変更の話以前にいろいろと残念な感じですね…

お上がそんなこと言うと、システムのリスクアセスメントの結果「定期的変更なんぞせんでも他の対策でリスク受容できるほど低減できる」と判定できても、内外からの「上がこー言うからやらんといかん」という意見に抗するのに無っ茶いらんパワーを割かれる訳で。

▼ そして、高木浩光先生の怒涛の指摘と思わぬ?オチにより更なる反響を呼ぶことに

以下「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」に対する高木浩光先生の指摘をまとめています。

総務省から、パスワードリスト型不正ログイン攻撃への対策を推奨する文書 soumu.go.jp/menu_news/s-ne… が出たのですが、最悪なことに、パスワードの定期的変更を強制する策を推奨するものになっています。

「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」(概要)
http://www.soumu.go.jp/main_content/000265404.pdf

何らかの方法で作成されたID・パスワードのリストをもとに不正アクセスを行うリスト型攻撃に対しては、定期的にパスワードを変更することでリストを古いものにし、リストを役立たないものにすることが有効です。

総務省が推奨する対策は、利用者にパスワードの使い回しを止めるように促し、その上で、パスワードを半年から一年で定期的に変更を強制するというものになっています。(過去に使用されたパスワードも記憶させておいて再使用を禁止することが推奨されています。)

1 2 3 4





焼酎片手にまとめております。



  • 話題の動画をまとめよう