Upgrade to Pro — share decks privately, control downloads, hide ads and more …

パスワードに関する最近の動向

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for kenchan0130 kenchan0130
July 26, 2022
Programming
1
620

 パスワードに関する最近の動向

セキュリティのアレのPodcastの「第137回 KEV大好き!からのパスワードネタ三連発!スペシャル」、「第138回 あるある募集と謎草プロジェクト始動!スペシャル」にてパスワードに関する話題がありました。
これを社内勉強会で共有した際のスライドです。

Avatar for kenchan0130

kenchan0130

July 26, 2022
Tweet

More Decks by kenchan0130

See All by kenchan0130
組織デバイスのための効率的なアプリケーション更新戦略
Avatar for kenchan0130 kenchan0130
0
840
運用していくアプリケーション開発のヒント
Avatar for kenchan0130 kenchan0130
0
380
Local Administrator Password Solution for macOS with Jamf Pro / コーポレートエンジニア・カジュアルトーク #2 実例LT
Avatar for kenchan0130 kenchan0130
0
1.4k
FOLIO のこれまでの情報セキュリティへの取り組みについて / Scramble! #2 Security
Avatar for kenchan0130 kenchan0130
1
1.5k
運用を続けていくための Scala の書き方 / scala.rookies#1
Avatar for kenchan0130 kenchan0130
3
1.3k
イノベーションを止めずに、端末管理と運用を行う方法 / builderscon tokyo 2018
Avatar for kenchan0130 kenchan0130
14
5.6k
イノベーションを止めずに、端末管理と運用を行う方法 発表ノート付き/ builderscon tokyo 2018
Avatar for kenchan0130 kenchan0130
1
630
教育・企業におけるデバイス管理について
Avatar for kenchan0130 kenchan0130
2
1.6k
教育・企業におけるデバイス管理について 発表ノート付き
Avatar for kenchan0130 kenchan0130
0
590

Other Decks in Programming

See All in Programming
AIによるイベントストーミング図からのコード生成 / AI-powered code generation from Event Storming diagrams
Avatar for nrs nrslib
2
1.8k
Smart Handoff/Pickup ガイド - Claude Code セッション管理
Avatar for rasshii yukiigarashi
0
110
CSC307 Lecture 04
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
650
CSC307 Lecture 06
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
680
FOSDEM 2026: STUNMESH-go: Building P2P WireGuard Mesh Without Self-Hosted Infrastructure
Avatar for Date Huang tjjh89017
0
130
Package Management Learnings from Homebrew
Avatar for Mike McQuaid mikemcquaid
0
180
QAフローを最適化し、品質水準を満たしながらリリースまでの期間を最短化する #RSGT2026
Avatar for shibayu36 shibayu36
2
4.2k
公共交通オープンデータ × モバイルUX 複雑な運行情報を 『直感』に変換する技術
Avatar for Tsubasa SEKIGUCHI tinykitten
PRO
0
200
Basic Architectures
Avatar for Denys Poltorak denyspoltorak
0
650
Vibe codingでおすすめの言語と開発手法
Avatar for uyuki uyuki234
0
210
Vibe Coding - AI 驅動的軟體開發
Avatar for Micky Li mickyp100
0
170
AIエージェントの設計で注意するべきポイント6選
Avatar for Har1101 har1101
7
3.4k

Featured

See All Featured
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
65
8.4k
State of Search Keynote: SEO is Dead Long Live SEO
Avatar for Ryan Jones ryanjones
0
110
My Coaching Mixtape
Avatar for mlcsv mlcsv
0
45
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
Avatar for David Carrasco davidcarrasco
0
60
The agentic SEO stack - context over prompts
Avatar for schlessera schlessera
0
620
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
Avatar for Sara Fernández Carmona sarafernandez
1
1.3k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
273
21k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
31
3.1k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
240
Test your architecture with Archunit
Avatar for Yoan thirion
1
2.1k
Highjacked: Video Game Concept Design
Avatar for Ryan Kendrick rkendrick25
PRO
1
280
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
51
51k

Transcript

  1. 1 パスワードに関する最近の動向 2022/07/25 証券基盤部勉強会 Copyright © 2019 FOLIO Co., Ltd.

    All Rights Reserved.

  2. https://www.tsujileaks.com/?p=1232 2 https://www.tsujileaks.com/?p=1237 セキュリティのアレでパスワードネタが話題

  3. Podcastを全部聴くのは⼤変なので 掻い摘んで紹介 3 セキュリティのアレでパスワードネタが話題

  4. Webサイトにおける パスワードポリシーの研究結果 4

  5. プリンストン⼤学が、 パスワードのベストプラクティスに準拠しているかを 120のWebサイトに対して調査したもの 1. 弱いパスワード(漏洩済みまたは推測しやすい [例: 12345])を許可していないこと 2. パスワードの強度メーターを提供していること 3.

    特殊⽂字の組み合わせを強制しないこと • Passw0rdみたいなものを設置されやすい 5 多くのサイトがベストプラクティスに準拠してない https://passwordpolicies.cs.princeton.edu/ assets/password_policies_draft-latest.pdf

  6. • Webサイトの半分以上(71/120)はパスワードを まったくチェックしていない • 19のWebサイトが、最も⼀般的なパスワードの半分 未満をブロックしていた 6 弱いパスワードを許可していないこと https://passwordpolicies.cs.princeton.edu/ assets/password_policies_draft-latest.pdf

  7. • 23/120のWebサイトのみがパスワード強度メーター を使⽤していた • 23のうち、10のWebサイトは、メーターの実装が正 しくなかった • 推測可能性について⾔及していない 7 パスワードの強度メーターを提供していること

    https://passwordpolicies.cs.princeton.edu/ assets/password_policies_draft-latest.pdf

  8. • 54/120サイトでは、数字や特殊⽂字などの特定の⽂ 字が必要だった 8 特殊⽂字の組み合わせを強制しないこと https://passwordpolicies.cs.princeton.edu/ assets/password_policies_draft-latest.pdf

  9. • ⽂字種を求めるようなものは、たとえ効果がなくて も⼀⾒セキュリティを重視しているように⾒受けら れるため(セキュリティ劇場と⽐喩されていた) • 多要素認証があるからパスワードポリシーの強化が 必要ないと考えている • SMSの場合は特に脆弱なので避けるべき •

    Web サイトはセキュリティ監査に合格する必要があ り、このような監査を⾏う会社が時代遅れの⼿法を 推奨したり、義務付けたりしている • セキュリティ専⾨家では常識でもアプリケーション 開発者は知らない可能性がある 9 どうしてこのような結果になってしまったのか

  10. NISTがガイドラインを出しているので、 それを指標にして設定していくとよい 10 我々はどうしていけばいいのか

  11. マルチデバイス FIDOクレデンシャル 11

  12. • パスキーはWebAuthnの⼀つであるマルチデバイス FIDOクレデンシャルの別名(Apple⽤語かも) • パスワードなしでWebサイトにログインできる • 次期iOS/iPadOSとmacOSにパスキー機能が搭載さ れることが発表された • 正確にはmacOSの場合はiPhoneなどが別途必要

    • Webサイト側では別途対応するための実装が必要 12 パスキーがiOS/iPadOSとmacOSにくるぞ! https://developer.apple.com/videos/play/ wwdc2022/10092

  13. パスワードマネージャー動向 13

  14. • 1PasswordがFIDOアライアンスに加⼊したよ • FIDO系の機能頑張って⾏くトノコト • 1Passwordのデスクトップアプリケーションが WebAuthnのデバイスになる未来がくる 14 1PasswordがFIDOアライアンスに加⼊ https://blog.1password.com/1password-is-

    joining-the- fi do-alliance/

  15. • LastPassにログインするマスターパスワードをなく すことができる • LastPass Authenticatorモバイルアプリに通 知を⾶ばしてOKってするやつ • LastPassのようなサービスがこれやるのは セキュリティ的にあまりよくない気がす

    る? • 弊社はSSOしてるので関係ないはず(要確認) • セキュリティキーや⽣体認証も2022年中にはサポー トするトノコト 15 LastPass、パスワードレス対応頑張るよ! https://blog.lastpass.com/2022/06/ passwordless-is-possible-lastpass-gets- you-there-sooner/

  16. おわり