$30 off During Our Annual Pro Sale. View Details »

パスワードに関する最近の動向

kenchan0130
July 26, 2022
Programming
1
510

 パスワードに関する最近の動向

セキュリティのアレのPodcastの「第137回 KEV大好き!からのパスワードネタ三連発!スペシャル」、「第138回 あるある募集と謎草プロジェクト始動!スペシャル」にてパスワードに関する話題がありました。
これを社内勉強会で共有した際のスライドです。

kenchan0130

July 26, 2022
Tweet

More Decks by kenchan0130

See All by kenchan0130
運用していくアプリケーション開発のヒント
kenchan0130
0
270
Local Administrator Password Solution for macOS with Jamf Pro / コーポレートエンジニア・カジュアルトーク #2 実例LT
kenchan0130
0
1k
FOLIO のこれまでの情報セキュリティへの取り組みについて / Scramble! #2 Security
kenchan0130
1
1.2k
運用を続けていくための Scala の書き方 / scala.rookies#1
kenchan0130
3
990
イノベーションを止めずに、端末管理と運用を行う方法 / builderscon tokyo 2018
kenchan0130
14
4.8k
イノベーションを止めずに、端末管理と運用を行う方法 発表ノート付き/ builderscon tokyo 2018
kenchan0130
1
550
教育・企業におけるデバイス管理について
kenchan0130
2
1.3k
教育・企業におけるデバイス管理について 発表ノート付き
kenchan0130
0
400
RubyでWebアプリを理解する
kenchan0130
0
360

Other Decks in Programming

See All in Programming
VimConf 2023 Tiny
skanehira
1
220
WantedlyでFeature Storeを導入する際に考えたこと
zerebom
1
420
Intro to Stateful Services or How to get 1 million RPS from a single node
antyadev
0
140
アーキテクチャ刷新の現場 / Scene of architectural renewal
nrslib
6
1k
supabaseとSvelteKitで作るバックエンドレスなサーバーレスWebサイト / Creating with supabase and SvelteKit Backend-less serverless websites
seike460
PRO
3
1.8k
Findy - エンジニア向け会社紹介 / Findy Letter for Engineers
findyinc
2
59k
TypeScript_コンパイラの内側に片足を入れる
ryounasso
1
230
DIY Python Debugger
parttimenerd
0
1k
長年運用されている Web サービスと 通信をするクライアントを Go で作ってみた話
commojun
0
410
MVP開発をするための要求の詰め方/How to think about requirements for MVP development
misatokii
0
150
re:Invent 2023 機械学習、アナリティクス系 "推し" アップデート紹介
cmnakamurashogo
0
120
カスタマーサポートの信頼性向上 〜社内ツールにおけるSRE活動〜 - NIFTY Tech Day 2023
niftycorp
0
120

Featured

See All Featured
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
10
1.3k
Thoughts on Productivity
jonyablonski
55
3.5k
Learning to Love Humans: Emotional Interface Design
aarron
266
39k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
39
4k
The Illustrated Children's Guide to Kubernetes
chrisshort
26
45k
Statistics for Hackers
jakevdp
788
220k
Agile that works and the tools we love
rasmusluckow
323
20k
Practical Orchestrator
shlominoach
179
9.4k
Reflections from 52 weeks, 52 projects
jeffersonlam
342
19k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
15
1.7k
Fireside Chat
paigeccino
18
2.3k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
53
33k

Transcript

  1. 1
    パスワードに関する最近の動向
    2022/07/25 証券基盤部勉強会
    Copyright © 2019 FOLIO Co., Ltd. All Rights Reserved.

    View Slide

  2. https://www.tsujileaks.com/?p=1232
    2
    https://www.tsujileaks.com/?p=1237
    セキュリティのアレでパスワードネタが話題

    View Slide

  3. Podcastを全部聴くのは⼤変なので
    掻い摘んで紹介
    3
    セキュリティのアレでパスワードネタが話題

    View Slide

  4. Webサイトにおける
    パスワードポリシーの研究結果
    4

    View Slide

  5. プリンストン⼤学が、
    パスワードのベストプラクティスに準拠しているかを
    120のWebサイトに対して調査したもの
    1. 弱いパスワード(漏洩済みまたは推測しやすい [例:
    12345])を許可していないこと
    2. パスワードの強度メーターを提供していること
    3. 特殊⽂字の組み合わせを強制しないこと
    • Passw0rdみたいなものを設置されやすい
    5
    多くのサイトがベストプラクティスに準拠してない
    https://passwordpolicies.cs.princeton.edu/
    assets/password_policies_draft-latest.pdf

    View Slide

  6. • Webサイトの半分以上(71/120)はパスワードを
    まったくチェックしていない
    • 19のWebサイトが、最も⼀般的なパスワードの半分
    未満をブロックしていた
    6
    弱いパスワードを許可していないこと
    https://passwordpolicies.cs.princeton.edu/
    assets/password_policies_draft-latest.pdf

    View Slide

  7. • 23/120のWebサイトのみがパスワード強度メーター
    を使⽤していた
    • 23のうち、10のWebサイトは、メーターの実装が正
    しくなかった
    • 推測可能性について⾔及していない
    7
    パスワードの強度メーターを提供していること
    https://passwordpolicies.cs.princeton.edu/
    assets/password_policies_draft-latest.pdf

    View Slide

  8. • 54/120サイトでは、数字や特殊⽂字などの特定の⽂
    字が必要だった
    8
    特殊⽂字の組み合わせを強制しないこと
    https://passwordpolicies.cs.princeton.edu/
    assets/password_policies_draft-latest.pdf

    View Slide

  9. • ⽂字種を求めるようなものは、たとえ効果がなくて
    も⼀⾒セキュリティを重視しているように⾒受けら
    れるため(セキュリティ劇場と⽐喩されていた)
    • 多要素認証があるからパスワードポリシーの強化が
    必要ないと考えている
    • SMSの場合は特に脆弱なので避けるべき
    • Web サイトはセキュリティ監査に合格する必要があ
    り、このような監査を⾏う会社が時代遅れの⼿法を
    推奨したり、義務付けたりしている
    • セキュリティ専⾨家では常識でもアプリケーション
    開発者は知らない可能性がある
    9
    どうしてこのような結果になってしまったのか

    View Slide

  10. NISTがガイドラインを出しているので、
    それを指標にして設定していくとよい
    10
    我々はどうしていけばいいのか

    View Slide

  11. マルチデバイス
    FIDOクレデンシャル
    11

    View Slide

  12. • パスキーはWebAuthnの⼀つであるマルチデバイス
    FIDOクレデンシャルの別名(Apple⽤語かも)
    • パスワードなしでWebサイトにログインできる
    • 次期iOS/iPadOSとmacOSにパスキー機能が搭載さ
    れることが発表された
    • 正確にはmacOSの場合はiPhoneなどが別途必要
    • Webサイト側では別途対応するための実装が必要
    12
    パスキーがiOS/iPadOSとmacOSにくるぞ!
    https://developer.apple.com/videos/play/
    wwdc2022/10092

    View Slide

  13. パスワードマネージャー動向
    13

    View Slide

  14. • 1PasswordがFIDOアライアンスに加⼊したよ
    • FIDO系の機能頑張って⾏くトノコト
    • 1Passwordのデスクトップアプリケーションが
    WebAuthnのデバイスになる未来がくる
    14
    1PasswordがFIDOアライアンスに加⼊
    https://blog.1password.com/1password-is-
    joining-the-
    fi
    do-alliance/

    View Slide

  15. • LastPassにログインするマスターパスワードをなく
    すことができる
    • LastPass Authenticatorモバイルアプリに通
    知を⾶ばしてOKってするやつ
    • LastPassのようなサービスがこれやるのは
    セキュリティ的にあまりよくない気がす
    る?
    • 弊社はSSOしてるので関係ないはず(要確認)
    • セキュリティキーや⽣体認証も2022年中にはサポー
    トするトノコト
    15
    LastPass、パスワードレス対応頑張るよ!
    https://blog.lastpass.com/2022/06/
    passwordless-is-possible-lastpass-gets-
    you-there-sooner/

    View Slide

  16. おわり

    View Slide