Upgrade to Pro — share decks privately, control downloads, hide ads and more …

パスワードに関する最近の動向

Avatar for kenchan0130 kenchan0130
July 26, 2022
Programming
1
580

 パスワードに関する最近の動向

セキュリティのアレのPodcastの「第137回 KEV大好き!からのパスワードネタ三連発!スペシャル」、「第138回 あるある募集と謎草プロジェクト始動!スペシャル」にてパスワードに関する話題がありました。
これを社内勉強会で共有した際のスライドです。
Avatar for kenchan0130

kenchan0130

July 26, 2022
Tweet

More Decks by kenchan0130

See All by kenchan0130
組織デバイスのための効率的なアプリケーション更新戦略
Avatar for kenchan0130 kenchan0130
0
660
運用していくアプリケーション開発のヒント
Avatar for kenchan0130 kenchan0130
0
350
Local Administrator Password Solution for macOS with Jamf Pro / コーポレートエンジニア・カジュアルトーク #2 実例LT
Avatar for kenchan0130 kenchan0130
0
1.3k
FOLIO のこれまでの情報セキュリティへの取り組みについて / Scramble! #2 Security
Avatar for kenchan0130 kenchan0130
1
1.4k
運用を続けていくための Scala の書き方 / scala.rookies#1
Avatar for kenchan0130 kenchan0130
3
1.2k
イノベーションを止めずに、端末管理と運用を行う方法 / builderscon tokyo 2018
Avatar for kenchan0130 kenchan0130
14
5.4k
イノベーションを止めずに、端末管理と運用を行う方法 発表ノート付き/ builderscon tokyo 2018
Avatar for kenchan0130 kenchan0130
1
600
教育・企業におけるデバイス管理について
Avatar for kenchan0130 kenchan0130
2
1.5k
教育・企業におけるデバイス管理について 発表ノート付き
Avatar for kenchan0130 kenchan0130
0
560

Other Decks in Programming

See All in Programming
OpenTelemetry + LLM = OpenLLMetry!?
Avatar for Yunosuke Yamada yunosukey
2
180
Embracing Ruby magic
Avatar for Vinicius Stock vinistock
2
280
Golangci-lint v2爆誕: 君たちはどうすべきか
Avatar for logica / Takuto Nagami logica0419
1
280
生成AI時代のフルスタック開発
Avatar for Kenn Ejima kenn
8
980
Live Coding: Migrating an Application to Signals
Avatar for Manfred Steyer manfredsteyer
PRO
0
110
個人開発の学生アプリが企業譲渡されるまで
Avatar for akidon0000 akidon0000
2
1.2k
eBPF超入門「o11yに使える」とは (20250424_eBPF_o11y)
Avatar for Koki Senda thousanda
1
120
SwiftDataのカスタムデータストアを試してみた
Avatar for 1mash0 1mash0
0
150
Носок на сок
Avatar for Bo0oM bo0om
0
1.4k
リアーキテクチャの現場で向き合う 既存サービスの読み解きと設計判断
Avatar for ymiyamu ymiyamu
0
140
Serving TUIs over SSH with Go
Avatar for Carlos Alexandro Becker caarlos0
0
760
最速Green Tea 🍵 Garbage Collector
Avatar for kuro kuro_kurorrr
1
150

Featured

See All Featured
Scaling GitHub
Avatar for Zach Holman holman
459
140k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
51
3.2k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
8
720
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
129
19k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
69
4.6k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
329
24k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
34
3k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
54
13k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
280
13k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
40
7.3k
Designing for humans not robots
Avatar for Tammie Lister tammielis
253
25k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
172
14k

Transcript

  1. 1 パスワードに関する最近の動向 2022/07/25 証券基盤部勉強会 Copyright © 2019 FOLIO Co., Ltd.

    All Rights Reserved.

  2. https://www.tsujileaks.com/?p=1232 2 https://www.tsujileaks.com/?p=1237 セキュリティのアレでパスワードネタが話題

  3. Podcastを全部聴くのは⼤変なので 掻い摘んで紹介 3 セキュリティのアレでパスワードネタが話題

  4. Webサイトにおける パスワードポリシーの研究結果 4

  5. プリンストン⼤学が、 パスワードのベストプラクティスに準拠しているかを 120のWebサイトに対して調査したもの 1. 弱いパスワード(漏洩済みまたは推測しやすい [例: 12345])を許可していないこと 2. パスワードの強度メーターを提供していること 3.

    特殊⽂字の組み合わせを強制しないこと • Passw0rdみたいなものを設置されやすい 5 多くのサイトがベストプラクティスに準拠してない https://passwordpolicies.cs.princeton.edu/ assets/password_policies_draft-latest.pdf

  6. • Webサイトの半分以上(71/120)はパスワードを まったくチェックしていない • 19のWebサイトが、最も⼀般的なパスワードの半分 未満をブロックしていた 6 弱いパスワードを許可していないこと https://passwordpolicies.cs.princeton.edu/ assets/password_policies_draft-latest.pdf

  7. • 23/120のWebサイトのみがパスワード強度メーター を使⽤していた • 23のうち、10のWebサイトは、メーターの実装が正 しくなかった • 推測可能性について⾔及していない 7 パスワードの強度メーターを提供していること

    https://passwordpolicies.cs.princeton.edu/ assets/password_policies_draft-latest.pdf

  8. • 54/120サイトでは、数字や特殊⽂字などの特定の⽂ 字が必要だった 8 特殊⽂字の組み合わせを強制しないこと https://passwordpolicies.cs.princeton.edu/ assets/password_policies_draft-latest.pdf

  9. • ⽂字種を求めるようなものは、たとえ効果がなくて も⼀⾒セキュリティを重視しているように⾒受けら れるため(セキュリティ劇場と⽐喩されていた) • 多要素認証があるからパスワードポリシーの強化が 必要ないと考えている • SMSの場合は特に脆弱なので避けるべき •

    Web サイトはセキュリティ監査に合格する必要があ り、このような監査を⾏う会社が時代遅れの⼿法を 推奨したり、義務付けたりしている • セキュリティ専⾨家では常識でもアプリケーション 開発者は知らない可能性がある 9 どうしてこのような結果になってしまったのか

  10. NISTがガイドラインを出しているので、 それを指標にして設定していくとよい 10 我々はどうしていけばいいのか

  11. マルチデバイス FIDOクレデンシャル 11

  12. • パスキーはWebAuthnの⼀つであるマルチデバイス FIDOクレデンシャルの別名(Apple⽤語かも) • パスワードなしでWebサイトにログインできる • 次期iOS/iPadOSとmacOSにパスキー機能が搭載さ れることが発表された • 正確にはmacOSの場合はiPhoneなどが別途必要

    • Webサイト側では別途対応するための実装が必要 12 パスキーがiOS/iPadOSとmacOSにくるぞ! https://developer.apple.com/videos/play/ wwdc2022/10092

  13. パスワードマネージャー動向 13

  14. • 1PasswordがFIDOアライアンスに加⼊したよ • FIDO系の機能頑張って⾏くトノコト • 1Passwordのデスクトップアプリケーションが WebAuthnのデバイスになる未来がくる 14 1PasswordがFIDOアライアンスに加⼊ https://blog.1password.com/1password-is-

    joining-the- fi do-alliance/

  15. • LastPassにログインするマスターパスワードをなく すことができる • LastPass Authenticatorモバイルアプリに通 知を⾶ばしてOKってするやつ • LastPassのようなサービスがこれやるのは セキュリティ的にあまりよくない気がす

    る? • 弊社はSSOしてるので関係ないはず(要確認) • セキュリティキーや⽣体認証も2022年中にはサポー トするトノコト 15 LastPass、パスワードレス対応頑張るよ! https://blog.lastpass.com/2022/06/ passwordless-is-possible-lastpass-gets- you-there-sooner/

  16. おわり