セキュリティのアレのPodcastの「第137回 KEV大好き!からのパスワードネタ三連発!スペシャル」、「第138回 あるある募集と謎草プロジェクト始動!スペシャル」にてパスワードに関する話題がありました。 これを社内勉強会で共有した際のスライドです。
1パスワードに関する最近の動向2022/07/25 証券基盤部勉強会Copyright © 2019 FOLIO Co., Ltd. All Rights Reserved.
View Slide
https://www.tsujileaks.com/?p=12322https://www.tsujileaks.com/?p=1237セキュリティのアレでパスワードネタが話題
Podcastを全部聴くのは⼤変なので掻い摘んで紹介3セキュリティのアレでパスワードネタが話題
Webサイトにおけるパスワードポリシーの研究結果4
プリンストン⼤学が、パスワードのベストプラクティスに準拠しているかを120のWebサイトに対して調査したもの1. 弱いパスワード(漏洩済みまたは推測しやすい [例:12345])を許可していないこと2. パスワードの強度メーターを提供していること3. 特殊⽂字の組み合わせを強制しないこと• Passw0rdみたいなものを設置されやすい5多くのサイトがベストプラクティスに準拠してないhttps://passwordpolicies.cs.princeton.edu/assets/password_policies_draft-latest.pdf
• Webサイトの半分以上(71/120)はパスワードをまったくチェックしていない• 19のWebサイトが、最も⼀般的なパスワードの半分未満をブロックしていた6弱いパスワードを許可していないことhttps://passwordpolicies.cs.princeton.edu/assets/password_policies_draft-latest.pdf
• 23/120のWebサイトのみがパスワード強度メーターを使⽤していた• 23のうち、10のWebサイトは、メーターの実装が正しくなかった• 推測可能性について⾔及していない7パスワードの強度メーターを提供していることhttps://passwordpolicies.cs.princeton.edu/assets/password_policies_draft-latest.pdf
• 54/120サイトでは、数字や特殊⽂字などの特定の⽂字が必要だった8特殊⽂字の組み合わせを強制しないことhttps://passwordpolicies.cs.princeton.edu/assets/password_policies_draft-latest.pdf
• ⽂字種を求めるようなものは、たとえ効果がなくても⼀⾒セキュリティを重視しているように⾒受けられるため(セキュリティ劇場と⽐喩されていた)• 多要素認証があるからパスワードポリシーの強化が必要ないと考えている• SMSの場合は特に脆弱なので避けるべき• Web サイトはセキュリティ監査に合格する必要があり、このような監査を⾏う会社が時代遅れの⼿法を推奨したり、義務付けたりしている• セキュリティ専⾨家では常識でもアプリケーション開発者は知らない可能性がある9どうしてこのような結果になってしまったのか
NISTがガイドラインを出しているので、それを指標にして設定していくとよい10我々はどうしていけばいいのか
マルチデバイスFIDOクレデンシャル11
• パスキーはWebAuthnの⼀つであるマルチデバイスFIDOクレデンシャルの別名(Apple⽤語かも)• パスワードなしでWebサイトにログインできる• 次期iOS/iPadOSとmacOSにパスキー機能が搭載されることが発表された• 正確にはmacOSの場合はiPhoneなどが別途必要• Webサイト側では別途対応するための実装が必要12パスキーがiOS/iPadOSとmacOSにくるぞ!https://developer.apple.com/videos/play/wwdc2022/10092
パスワードマネージャー動向13
• 1PasswordがFIDOアライアンスに加⼊したよ• FIDO系の機能頑張って⾏くトノコト• 1PasswordのデスクトップアプリケーションがWebAuthnのデバイスになる未来がくる141PasswordがFIDOアライアンスに加⼊https://blog.1password.com/1password-is-joining-the-fido-alliance/
• LastPassにログインするマスターパスワードをなくすことができる• LastPass Authenticatorモバイルアプリに通知を⾶ばしてOKってするやつ• LastPassのようなサービスがこれやるのはセキュリティ的にあまりよくない気がする?• 弊社はSSOしてるので関係ないはず(要確認)• セキュリティキーや⽣体認証も2022年中にはサポートするトノコト15LastPass、パスワードレス対応頑張るよ!https://blog.lastpass.com/2022/06/passwordless-is-possible-lastpass-gets-you-there-sooner/
おわり