パスワードに関する最近の動向

Slide 1

Slide 1 text

Slide 2

Slide 2 text

https://www.tsujileaks.com/?p=1232 2 https://www.tsujileaks.com/?p=1237 セキュリティのアレでパスワードネタが話題

Slide 3

Slide 3 text

Podcastを全部聴くのは⼤変なので掻い摘んで紹介 3 セキュリティのアレでパスワードネタが話題

Slide 4

Slide 4 text

Webサイトにおけるパスワードポリシーの研究結果 4

Slide 5

Slide 5 text

プリンストン⼤学が、パスワードのベストプラクティスに準拠しているかを 120のWebサイトに対して調査したもの 1. 弱いパスワード（漏洩済みまたは推測しやすい [例: 12345]）を許可していないこと 2. パスワードの強度メーターを提供していること 3. 特殊⽂字の組み合わせを強制しないこと • Passw0rdみたいなものを設置されやすい 5 多くのサイトがベストプラクティスに準拠してない https://passwordpolicies.cs.princeton.edu/ assets/password_policies_draft-latest.pdf

Slide 6

Slide 6 text

• Webサイトの半分以上（71/120）はパスワードをまったくチェックしていない • 19のWebサイトが、最も⼀般的なパスワードの半分未満をブロックしていた 6 弱いパスワードを許可していないこと https://passwordpolicies.cs.princeton.edu/ assets/password_policies_draft-latest.pdf

Slide 7

Slide 7 text

• 23/120のWebサイトのみがパスワード強度メーターを使⽤していた • 23のうち、10のWebサイトは、メーターの実装が正しくなかった • 推測可能性について⾔及していない 7 パスワードの強度メーターを提供していること https://passwordpolicies.cs.princeton.edu/ assets/password_policies_draft-latest.pdf

Slide 8

Slide 8 text

• 54/120サイトでは、数字や特殊⽂字などの特定の⽂字が必要だった 8 特殊⽂字の組み合わせを強制しないこと https://passwordpolicies.cs.princeton.edu/ assets/password_policies_draft-latest.pdf

Slide 9

Slide 9 text

• ⽂字種を求めるようなものは、たとえ効果がなくても⼀⾒セキュリティを重視しているように⾒受けられるため（セキュリティ劇場と⽐喩されていた） • 多要素認証があるからパスワードポリシーの強化が必要ないと考えている • SMSの場合は特に脆弱なので避けるべき • Web サイトはセキュリティ監査に合格する必要があり、このような監査を⾏う会社が時代遅れの⼿法を推奨したり、義務付けたりしている • セキュリティ専⾨家では常識でもアプリケーション開発者は知らない可能性がある 9 どうしてこのような結果になってしまったのか

Slide 10

Slide 10 text

NISTがガイドラインを出しているので、それを指標にして設定していくとよい 10 我々はどうしていけばいいのか

Slide 11

Slide 11 text

マルチデバイス FIDOクレデンシャル 11

Slide 12

Slide 12 text

• パスキーはWebAuthnの⼀つであるマルチデバイス FIDOクレデンシャルの別名（Apple⽤語かも） • パスワードなしでWebサイトにログインできる • 次期iOS/iPadOSとmacOSにパスキー機能が搭載されることが発表された • 正確にはmacOSの場合はiPhoneなどが別途必要 • Webサイト側では別途対応するための実装が必要 12 パスキーがiOS/iPadOSとmacOSにくるぞ！ https://developer.apple.com/videos/play/ wwdc2022/10092

Slide 13

Slide 13 text

パスワードマネージャー動向 13

Slide 14

Slide 14 text

• 1PasswordがFIDOアライアンスに加⼊したよ • FIDO系の機能頑張って⾏くトノコト • 1Passwordのデスクトップアプリケーションが WebAuthnのデバイスになる未来がくる 14 1PasswordがFIDOアライアンスに加⼊ https://blog.1password.com/1password-is- joining-the- fi do-alliance/

Slide 15

Slide 15 text

• LastPassにログインするマスターパスワードをなくすことができる • LastPass Authenticatorモバイルアプリに通知を⾶ばしてOKってするやつ • LastPassのようなサービスがこれやるのはセキュリティ的にあまりよくない気がする？ • 弊社はSSOしてるので関係ないはず（要確認） • セキュリティキーや⽣体認証も2022年中にはサポートするトノコト 15 LastPass、パスワードレス対応頑張るよ！ https://blog.lastpass.com/2022/06/ passwordless-is-possible-lastpass-gets- you-there-sooner/

Slide 16

Slide 16 text

おわり