$30 off During Our Annual Pro Sale. View Details »

パスワードに関する最近の動向

 パスワードに関する最近の動向

セキュリティのアレのPodcastの「第137回 KEV大好き!からのパスワードネタ三連発!スペシャル」、「第138回 あるある募集と謎草プロジェクト始動!スペシャル」にてパスワードに関する話題がありました。
これを社内勉強会で共有した際のスライドです。

kenchan0130

July 26, 2022
Tweet

More Decks by kenchan0130

Other Decks in Programming

Transcript

  1. 1
    パスワードに関する最近の動向
    2022/07/25 証券基盤部勉強会
    Copyright © 2019 FOLIO Co., Ltd. All Rights Reserved.

    View Slide

  2. https://www.tsujileaks.com/?p=1232
    2
    https://www.tsujileaks.com/?p=1237
    セキュリティのアレでパスワードネタが話題

    View Slide

  3. Podcastを全部聴くのは⼤変なので
    掻い摘んで紹介
    3
    セキュリティのアレでパスワードネタが話題

    View Slide

  4. Webサイトにおける
    パスワードポリシーの研究結果
    4

    View Slide

  5. プリンストン⼤学が、
    パスワードのベストプラクティスに準拠しているかを
    120のWebサイトに対して調査したもの
    1. 弱いパスワード(漏洩済みまたは推測しやすい [例:
    12345])を許可していないこと
    2. パスワードの強度メーターを提供していること
    3. 特殊⽂字の組み合わせを強制しないこと
    • Passw0rdみたいなものを設置されやすい
    5
    多くのサイトがベストプラクティスに準拠してない
    https://passwordpolicies.cs.princeton.edu/
    assets/password_policies_draft-latest.pdf

    View Slide

  6. • Webサイトの半分以上(71/120)はパスワードを
    まったくチェックしていない
    • 19のWebサイトが、最も⼀般的なパスワードの半分
    未満をブロックしていた
    6
    弱いパスワードを許可していないこと
    https://passwordpolicies.cs.princeton.edu/
    assets/password_policies_draft-latest.pdf

    View Slide

  7. • 23/120のWebサイトのみがパスワード強度メーター
    を使⽤していた
    • 23のうち、10のWebサイトは、メーターの実装が正
    しくなかった
    • 推測可能性について⾔及していない
    7
    パスワードの強度メーターを提供していること
    https://passwordpolicies.cs.princeton.edu/
    assets/password_policies_draft-latest.pdf

    View Slide

  8. • 54/120サイトでは、数字や特殊⽂字などの特定の⽂
    字が必要だった
    8
    特殊⽂字の組み合わせを強制しないこと
    https://passwordpolicies.cs.princeton.edu/
    assets/password_policies_draft-latest.pdf

    View Slide

  9. • ⽂字種を求めるようなものは、たとえ効果がなくて
    も⼀⾒セキュリティを重視しているように⾒受けら
    れるため(セキュリティ劇場と⽐喩されていた)
    • 多要素認証があるからパスワードポリシーの強化が
    必要ないと考えている
    • SMSの場合は特に脆弱なので避けるべき
    • Web サイトはセキュリティ監査に合格する必要があ
    り、このような監査を⾏う会社が時代遅れの⼿法を
    推奨したり、義務付けたりしている
    • セキュリティ専⾨家では常識でもアプリケーション
    開発者は知らない可能性がある
    9
    どうしてこのような結果になってしまったのか

    View Slide

  10. NISTがガイドラインを出しているので、
    それを指標にして設定していくとよい
    10
    我々はどうしていけばいいのか

    View Slide

  11. マルチデバイス
    FIDOクレデンシャル
    11

    View Slide

  12. • パスキーはWebAuthnの⼀つであるマルチデバイス
    FIDOクレデンシャルの別名(Apple⽤語かも)
    • パスワードなしでWebサイトにログインできる
    • 次期iOS/iPadOSとmacOSにパスキー機能が搭載さ
    れることが発表された
    • 正確にはmacOSの場合はiPhoneなどが別途必要
    • Webサイト側では別途対応するための実装が必要
    12
    パスキーがiOS/iPadOSとmacOSにくるぞ!
    https://developer.apple.com/videos/play/
    wwdc2022/10092

    View Slide

  13. パスワードマネージャー動向
    13

    View Slide

  14. • 1PasswordがFIDOアライアンスに加⼊したよ
    • FIDO系の機能頑張って⾏くトノコト
    • 1Passwordのデスクトップアプリケーションが
    WebAuthnのデバイスになる未来がくる
    14
    1PasswordがFIDOアライアンスに加⼊
    https://blog.1password.com/1password-is-
    joining-the-
    fi
    do-alliance/

    View Slide

  15. • LastPassにログインするマスターパスワードをなく
    すことができる
    • LastPass Authenticatorモバイルアプリに通
    知を⾶ばしてOKってするやつ
    • LastPassのようなサービスがこれやるのは
    セキュリティ的にあまりよくない気がす
    る?
    • 弊社はSSOしてるので関係ないはず(要確認)
    • セキュリティキーや⽣体認証も2022年中にはサポー
    トするトノコト
    15
    LastPass、パスワードレス対応頑張るよ!
    https://blog.lastpass.com/2022/06/
    passwordless-is-possible-lastpass-gets-
    you-there-sooner/

    View Slide

  16. おわり

    View Slide