「パスワードを覚える」なんて脳みその無駄遣い

no extension

パスワード管理について IPA と JPCERT/CC から以下のキャンペーンが公開されている。

パスワードを使いまわしてはいけないというのはここ何年かの間,散々言われてきたことである。 で,いわゆる「パスワードリスト攻撃」の成功率ってのは実は微妙な感じ。

被害企業試行件数成立件数成立率
A社約4,600,000 78,361約1.70%
B社 2,293,543 38,280 1.67%
C社 2,203,590219,926 9.98%
D社約4,300,000263,596約6.13%
E社約1,600,000 2,398約0.15%
F社 3,420,000 15,092 0.44%
G社 1,796,629 14,399 0.80%
パスワードリスト攻撃による被害例(パスワードリスト攻撃による不正ログイン防止に向けた呼びかけより)

この表だと2社ほど異様に成功率の高いトコロがあるけどねぇ。 10%って10人に1人ですよ。 どこだろう(笑)

まぁそれでも概ね1%台かそれ以下だ。 とはいえ400万ユーザにアタックをかけて1%成功したら4万ユーザに影響が出るわけで(SNS ならそこから更に被害が拡大する),放置できる量ではない。

IPA および JPCERT/CC はこのキャンペーンをサービス・プロバイダを中心に展開したいようだ。

申しこめばバナーとか使えるようになるみたい。 勝手に使っちゃいけないのかな。

さて,対策だが,「パスワードの使い回しを避けるための適切な管理方法」として以下の3つが挙がっている。

  1. 紙のメモ
  2. 電子ファイル (パスワード付き)
  3. パスワード管理ツール

「紙のメモ」は意外に良い方法である。 ただしメモの管理には注意を払う必要がある。 どちらかというと他の手段が使えない時の「最後の手段」としてとっておくのがよいであろう。 「最後の手段」があると安心感があるからね。(あと自分が死んだあとに紙で残したものがあると遺族が対応しやすいってのもある。終活ってやつ)

「電子ファイル (パスワード付き)」として「パスワードは表計算ソフトの機能でファイルそのものにかける方法と、zipなどの圧縮ファイルにかける方法とがあります」と書かれているが,これは下策。 絶対にやってはいけない。 Excel 等のパスワードロックは世の中に出回っているツールで簡単に解読できるので全くの無意味。 zip の暗号化機能ってよく分からない。 AES が使えるみたいなことを書いてる Web ページもあるけど,特許が云々とかで独自アルゴリズムを使ってるフリーソフトもあるらしい。 それ以前に s2k(String-to-Key)アルゴリズムが超絶怪しいんですけど大丈夫? 多分 zip の暗号化機能は使わないほうがよい。 それならば「ED」とか「アタッシェケース」とかのほうがマシ。

(Excel のパスワードロックなどは論外だが,きちんとした手順を踏んでいるのならパスワード・ベースの暗号化ツールは有効。 何故なら,自分自身が使うだけなら他者とパスワード情報を共有する必要がないから。 パスワード認証の何が危ないかというと「パスワード」という秘密情報を共有しなければならない点だ。 秘密を持つポイントが増えれば(例えばユーザ,サービスプロバイダ,両者をつなぐ通信経路など)それだけ漏洩するリスクも高まる)

(ところでどの製品も暗号化アルゴリズムについてはアピールしてくるけど,肝心なのは乱数のアルゴリズムとか s2k のアルゴリズムとかハッシュ・アルゴリズムとかを適切に用いているかどうかなんだよね。 AES などのブロック暗号ならどのモードを使っているかとか初期化ベクトルをどのように取ってるかとかいったことも大事。 特にパスワードロック機能に関しては,パスワードから鍵を生成するアルゴリズム(有名なのは RFC2898 PKCS#5)がポイントだと思うけど,そういう部分をちゃんと説明してる製品は皆無。 そういう情報をすっ飛ばして「うちは世界標準の AES を使ってますから安全です」とか笑わせるなっての。 ちなみに OpenPGP ではこれだけのアルゴリズムを用いている

「パスワード管理ツール」は今や必須アイテム。 あちこちで書いてるけど,たくさんあるパスワードを頭で覚えるなんて脳みその無駄遣い。 今すぐやめましょう。 個人的には KeePass をおすすめするが

Yes, KeePass is really free, and more than that: it is open source (OSI certified). You can have a look at its full source and check whether the encryption algorithms are implemented correctly.
via KeePass Password Safe

セキュリティ企業が提供しているツールにはパスワード管理ツールもあったりするので,それを使う手もある。

安全なネットライフを。

photo
新版暗号技術入門 秘密の国のアリス
結城 浩
ソフトバンククリエイティブ 2008-11-22
評価

情報処理教科書 情報セキュリティスペシャリスト 2014年版 (EXAMPRESS) Javaで作って学ぶ暗号技術 - RSA,AES,SHAの基礎からSSLまで 改訂新版 暗号の数理―作り方と解読の原理 (ブルーバックス) セスぺの春26 情報セキュリティスペシャリスト試験の最も詳しい過去問解説 ポケットスタディ 情報セキュリティスペシャリスト 第2版 (情報処理技術者試験)

まさに入門書。暗号がどのような要素技術で成り立っているのか体系的に理解できる良書。

reviewed by Spiegel on 2014/09/17 (powered by G-Tools)