Upgrade to Pro — share decks privately, control downloads, hide ads and more …

理想のパスワードは?

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Tech Leverages Tech Leverages PRO
January 08, 2025
Technology
5.2k
1

 理想のパスワードは?

Avatar for Tech Leverages

Tech Leverages PRO

January 08, 2025

More Decks by Tech Leverages

See All by Tech Leverages
Engineering ManagerがAI時代に この先生きのこるには?
Avatar for Tech Leverages leveragestech
PRO
1
69
最新技術を"今は選ばない"という技術選定
Avatar for Tech Leverages leveragestech
PRO
0
510
毎⽇dumpされるDBにCDCは無⼒だっ た、、FederatedQueryで繋ぎ直した データ連携の試⾏錯誤
Avatar for Tech Leverages leveragestech
PRO
0
37
Tableauを活かすためにTableauに制約を設けた話
Avatar for Tech Leverages leveragestech
PRO
0
68
営業支援システムと歩んだ7年半の変遷
Avatar for Tech Leverages leveragestech
PRO
0
130
DMBOKを使ってレバレジーズのデータマネジメントを評価した
Avatar for Tech Leverages leveragestech
PRO
0
790
Google ADKのSub Agentを Agentic Workflowに移行し、 遷移成功率を改善した話
Avatar for Tech Leverages leveragestech
PRO
0
12
ハッカソンから社内プロダクトへ AIエージェント ko☆shi 開発で学んだ4つの重要要素
Avatar for Tech Leverages leveragestech
PRO
0
4.2k
2025年のデザインシステムとAI 活用を振り返る
Avatar for Tech Leverages leveragestech
PRO
0
4.8k

Other Decks in Technology

See All in Technology
AIの性能が向上しても未解決な組織の重大問題は何か?/An Unsolved Organizational Problem in the Age of AI
Avatar for moriyuya moriyuya
3
610
小さく始める AI 活用推進 ― 日経電子版 Web チームの事例/nikkei-tech-talk47
Avatar for 日本経済新聞社 エンジニア採用事務局 nikkei_engineer_recruiting
0
200
Agentic Web
Avatar for dynamis dynamis
1
200
「エンジニア進化論」2028年の開発完全自動化、エンジニアはどう進化するか
Avatar for CyberAgent cyberagentdevelopers
PRO
4
4.4k
2026TECHFRESH畢業分享會 - Lightning Talk - E起 See See : 電商推薦讀心術? 數據說了算
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
730
Amazon Bedrock AgentCore ワークショップ JAWS UG TOHOKU / amazon-bedrock-agentcore-workshop-jawsug-tohoku-2026
Avatar for geeawa gawa
9
640
FDE という解 ― 暗黙知と明示知をつなぐ、伴走型エンジニアリング ―
Avatar for 太田 博三 otanet
0
130
RSA暗号を手計算したくなること、ありますよね?? (20260615_orestudy6_rsa)
Avatar for Koki Senda thousanda
0
190
2026TECHFRESH畢業分享會 - 葬送的通靈師:化系統與用戶雜訊成行動訊號
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
730
2026 TECHFRESH 畢業分享會 - 開發日常大解密!從領域驅動到企業級上線
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
730
手塩にかけりゃいいってもんじゃない
Avatar for ming ming_ayami
0
240
自律型AIエージェントは何を破壊するのか
Avatar for kojira kojira
0
150

Featured

See All Featured
Prompt Engineering for Job Search
Avatar for Mfonobong Umondia mfonobong
0
340
Design in an AI World
Avatar for tapps tapps
1
240
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
128
56k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
Avatar for Sophie Logan marketingsoph
0
170
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
96
14k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
5.1k
How GitHub (no longer) Works
Avatar for Zach Holman holman
316
150k
Organizational Design Perspectives: An Ontology of Organizational Design Elements
Avatar for Dr. Kim W Petersen kimpetersen
PRO
1
720
The browser strikes back
Avatar for Jono Alderson jonoalderson
0
1.2k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
860
Leveraging Curiosity to Care for An Aging Population
Avatar for Cassini Nazir cassininazir
1
270
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
174
15k

Transcript

  1. 理想のパスワードは? Security.any #02 セキュリティあの頃はLT 2025.01.23 松浪 亮

  2. | © 2025 Levtech Co., Ltd. 2 レバテック開発部 DevOps推進グループ 認証基盤チーム 松浪

    亮 RYO MATSUNAMI レバテックでは主に認証基盤(レバテックID)の開発に従事。 どうすればDevSecOpsを組織に浸透させられるか日々悩み中。 プライベートでは2人の子育てに従事。 あと、Vue.jp Japan User Group で Vue Fes の運営のお手伝いなんかも時々。

  3. | © 2025 Levtech Co., Ltd. 3 こんなサイトに出会ったことはありませんか? • 定期的&強制的にパスワードの変更を求められる •

    パスワードに大文字+小文字+数字+記号すべて含めないといけない • 「秘密の質問」を登録する必要がある • 「パスワードのヒント」を登録できる いきなり質問です

  4. | © 2025 Levtech Co., Ltd. 4 こんなサイトに出会ったことはありませんか? • 定期的&強制的にパスワードの変更を求められる •

    パスワードに大文字+小文字+数字+記号すべて含めないといけない • 「秘密の質問」を登録する必要がある • 「パスワードのヒント」を登録できる いきなり質問です 現在において、これらはすべて非推奨 !!

  5. | © 2025 Levtech Co., Ltd. 5 2024/08に公開されたアメリカ国立標準技術研究所(NIST)の新しいガイ ドラインでも、「してはならないこと」として明記されている。 新しいガイドライン(草案)では? ※

    実際は2017年頃から既に非推奨として明記されている 出典: NIST

  6. 今日お伝えしたいこと

  7. 今日話したいこと パスワードに複雑な実装は必要ない

  8. | © 2025 Levtech Co., Ltd. 8 新常識 01 記号や数字の混在を強制させてはならない 新常識

    02 ヒントを用意してはならない 新常識 03 パスワードを実装する際の新常識 定期的にパスワードの変更を求めてはならない

  9. | © 2025 Levtech Co., Ltd. 9 • 以前は定期的にパスワードを変更することは推奨されていたが、現 在は非推奨となっている •

    理由は「パスワードの単純化」「パスワードのワンパターン化」を 招く恐れがあるから ◦ つまり、変更しても覚えていられるパスワードを設定してしまいがち • ただし、パスワードの流出やアカウントの乗っ取りを検知した場 合、強制的にでもパスワードを変更した方がよい 新常識1 定期的にパスワードの変更を求めてはならない

  10. | © 2025 Levtech Co., Ltd. 10 • 以前は記号や数字の混在は推奨されていたが、現在は非推奨となっ ている •

    理由はユーザが「予測可能な覚えやすいパスワード」を設定する可 能性が高まるから ◦ 例:Password1?、P@ssword1 • 仮に複雑なパスワードを設定しても、ユーザは覚えていられないた め「安全でないどこかに保存する」という行動を取ってしまう ◦ 例:付箋に書く、テキストファイルに残す、ブラウザに保存する 新常識2 記号や数字の混在を強制させてはならない

  11. | © 2025 Levtech Co., Ltd. 11 • 以前は秘密の質問やパスワードのヒントがWindowsのログインに搭 載されていた ◦

    パスワードを失念しても秘密の質問に回答すれば、パスワードを再設定できたり した 新常識3 ヒントを用意してはならない

  12. | © 2025 Levtech Co., Ltd. 12 • 秘密の質問やパスワードのヒントも現在は非推奨となっている • 理由は「不正にログインされる」リスクが高まるから

    • 秘密の質問もパスワードのヒントもユーザ自身で任意の内容を設定 可能である(でなければならない) ◦ 本当に他人には推測できない質問の答えを登録するのか、本当にヒントに留まる 内容を登録するのかシステム側では制御できない ◦ 例:秘密の質問 親の旧姓は?→「鈴木」 ◦ 例:パスワードのヒント 「パスワードのaをアットマーク」 新常識3 ヒントを用意してはならない

  13. | © 2025 Levtech Co., Ltd. 13 要件 01 スペースやUnicodeの文字も許容する 要件

    02 ブロックリストに載っているパスワードを許容しない 要件 03 パスワードを実装するにはどうすればよい? 最低でも8文字以上、最長で64文字以下

  14. | © 2025 Levtech Co., Ltd. 14 NISTはガイドライン上でパスワードの長さについて、 SHALL require passwords

    to be a minimum of eight characters in length and SHOULD require passwords to be a minimum of 15 characters in length. SHOULD permit a maximum password length of at least 64 characters. • 最低でも8文字 • 可能なら最低を15文字 • 最長は64文字 要件1 最低でも8文字以上、最長で64文字以下

  15. | © 2025 Levtech Co., Ltd. 15 NISTはガイドライン上で文字コードについて、 SHOULD accept all

    printing ASCII characters and the space character in passwords. SHOULD accept Unicode characters in passwords. • ASCIIの他にUnicodeの文字列やスペースもパスワードとして許容してよ いとしている ◦ ASCII:アルファベットや数字、記号などを収録した文字コードの一つ。文字を7ビットの値 (0~127)で表し、128文字が収録されている ◦ Unicode:文字コードの国際的な標準規格の一つ。世界中の様々な言語の文字を収録して通 し番号を割り当てたもの • つまり、ガイドライン上では日本語のパスワードもOK 要件2 スペースやUnicodeの文字も許容する

  16. | © 2025 Levtech Co., Ltd. 16 NISTはガイドライン上で登録可能なパスワードついて、 If the chosen

    password is found on the blocklist, verifier SHALL require the subscriber to select a different secret. • ブロックリストとは「推測しやすいパスワード」「固有名詞」な ど、パスワードとして許容しない文字列の一覧のこと ◦ 例: 「password」「qwertyuiop」「12345678」 要件3 ブロックリストに載っているパスワードを許容しない

  17. | © 2025 Levtech Co., Ltd. 17 • ブロックリストは開発者自身で用意する必要がある ◦ GitHubでSecListとして公開されているので、それを利用するのもアリ

    要件3 ブロックリストに載っているパスワードを許容しない 出典: SecList

  18. | © 2025 Levtech Co., Ltd. 18 セキュリティを取るか?ユーザビリティを取るか? • 例えば、NISTのガイドラインに従ってパスワードに15文字以上を要 求すると、ユーザは使いづらいと感じてしまう可能性がある

    ◦ 結果として、ユーザの定着率や獲得に悪影響を及ぼす ◦ つまり、セキュリティ的に強度を高くしたからといって、ユーザにとって使いや すいかどうかは別の話...

  19. | © 2025 Levtech Co., Ltd. 19 • パスワードの長さや文字の種類よりも、他の対策を複数取ることが大事 ◦ ログイン試行回数に制限をかける

    ◦ 普段と異なるUserAgentだったら本人確認を求める ◦ WAFでレートベースのルールを設定する ◦ 二段階認証・二要素認証を導入する、など • サービスの性質によってはログイン状態を長く維持するのもアリ ◦ ニュースやエンタメ系サービスなら数ヶ月 ◦ 逆にネットバンキングは数分〜数時間にした方がよい • どこまで許容するかは組織で話し合って決めよう セキュリティもユーザビリティも確保したいなら(案)

  20. | © 2025 Levtech Co., Ltd. 20 まとめ • パスワードは、 ◦

    定期的に変更を求めてはならない ◦ 記号や数字の混在を強制してはならない ◦ ヒントを用意してはならない • 推奨されるパスワードは、 ◦ 最低でも8文字以上、可能なら15文字以上、最長で64文字以下とする ◦ スペースやUnicodeの文字も許容する ◦ ブロックリストに載っているパスワードを許容しない

  21. 宣伝

  22. 開発職向け会社紹介資料 プロダクトや開発組織についてご紹介しています。 https://speakerdeck.com/leverages/levtech-hui-she-shao-jie-zi-liao-enzi niazhi-xiang-ke レバテック開発部テックブログ 日々の開発におけるリアルをお届けしています! https://zenn.dev/p/levtech カジュアル面談フォーム 気軽にご応募ください!いろんなお話しましょう! https://hrmos.co/pages/leverages/jobs/A_c_00071

  23. ご清聴ありがとうございました。