palm84.com

革命的愛熊主義者同盟!

【私的】パスワードのセキュリティのあれこれ

f:id:palm84:20210220182106p:plain

ぶっちゃけ「めんどくせー」なんですがw、最近はアカウントの保護や診断などのセキュリティ機能が強化されてるので素人でも適切な設定が可能になってるんじゃないかなと思ってみたり…

INDEX

2021.03.20 パスワードマネージャーについて追記

about

安全なパスワードとは、他人に推測されにくく、ツールなどで割り出しにくいものを言います。

せっかく安全なパスワードを設定しても、パスワードが他人に漏れてしまえば意味がありません。

またパスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。

設定と管理のあり方|IDとパスワード|どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト

とりあえず、私の場合は今んとここんなかんじかな

  1. 流出がないかチェック
  2. 単語の組み合わせで無意味な文章とかにする、口語にしたり文語にしたり
  3. 使い回さない
  4. メールアドレスをチェックできるサイトに登録しておく
  5. 2要素認証がない場合はカード情報などを登録しない

以前はよく言われてた「定期的に変更」は必須ではありません!

なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

設定と管理のあり方|IDとパスワード|どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト
参考リンク

2021.3.20 追記】パスワードマネージャーについて

【2021.7.9 追記】カスペルスキー パスワードマネージャーの脆弱性

利用してる場合は必ず更新を。

すみません!私が知らなかったことがいくつかありました…

  • サードパーティ製は Bitwarden あたりがよさそう?

ちなみに最近のサードパーティ製パスワードマネージャは、ダークウェブ上に自分のパスワードが流通していないかチェックする機能など、多機能化が進んでいる。こうした機能の豊富さ、また家族やチームでの共有機能については、サードパーティ製サービスのほうが(有料の場合もあるが)一歩先を行っている。

導入するなら今! 「パスワードマネージャ」を使おう。LastPassやOS標準機能 - Impress Watch

パスワード強度を判定 - Kaspersky

さまざまな文字を適切に組み合わせる。強力なパスワードは、アルファベットの大文字と小文字、数字、特殊記号など、さまざまな要素で構成されています。こうすることで予測されにくく、解読されにくくなります。 覚えやすいパスワードにする。比較的わかりやすい「12345-humpty-dumpty-satonthe-firewall」と無作為に文字が並んだ「?Y]G9gWJ48zYkFBc@{nKw!’q」は、大まかに同じくらいの強度ですが、後者を覚えるのはまず無理です。パスワードを作るときには、覚えやすくするためのパスワード作成方法を参考にするか、自分なりの作成ルールを決めてみてください。

Password Check | Kaspersky

後述の「Have I Been Pwned」サイトのデータベースを元に、強度及び流出のチェックができます。但し、日本語(ローマ字)の単語(名詞)については判定が甘いと感じました。著名な歌手名とか安全判定が出ます。

f:id:palm84:20210220182016p:plain

  • 「きつねうどん」と入れたら、黄色判定(※ なんか、ありません or 11回ってよくわからんけどもw)

f:id:palm84:20210220182022p:plain

  • 「うどんはきつねにかぎる」と入れたら、10000+ 世紀て(笑)

f:id:palm84:20210220182030p:plain

あくまで一例ですけど、(※ 日本語には甘めと思うので)これを方言にしたり「カレーはやっぱきつねですわな」みたいに無意味にしたりとかで強度が上がるかな、と愚考してます。

参考リンク

流出をチェック - Have I Been Pwned

有名な流出確認サイトです。前述の「Password Check | Kaspersky」後述の「Firefox Monitor」もここの情報を元にしてます。

f:id:palm84:20210220182035p:plain

  • メールアドレスを入力 - セーフの場合

f:id:palm84:20210220182041p:plain

  • アウトの場合

f:id:palm84:20210220182044p:plain

  • アウトの場合、ページ下に詳細が出ますが、後述の「Firefox Monitor」の方がわかりやすいかも

f:id:palm84:20210221000852p:plain

f:id:palm84:20210220182048p:plain

  • こっちはパスワードを入力 - セーフの場合

f:id:palm84:20210220182054p:plain

  • アウトの場合

f:id:palm84:20210220182058p:plain

参考リンク

リバースブルートフォースとは

「9999」などの脆弱なパスワードをアカウント名を変えて何度も試行する攻撃のことですね。この対策ができていないサイトが多いと考えられてます。

一度漏れたパスワードはアカウントとの組み合わせを変更しても突破される危険があるということ。

特定のIDに対して、あらゆる文字列の組み合わせをパスワードとして総当たりで攻撃する手法である「ブルートフォース攻撃」が知られています。これはパスワード認証が求められるシステムに対する攻撃手法としては歴史が古く、現在ではシステムの防御側で様々な方法で対策が取られています。

しかしこのブルートフォース攻撃を応用した「リバースブルートフォース攻撃」による不正なログインが確認される事例が増えてきています。...[略]

攻撃者は何らかのプログラムを使用して、システムに対して不正なログインを試みようとします。その際、パスワードの文字列を固定にして、IDの文字列を変化させながらログイン試行します。サイバー攻撃としては古典的な考えですが、攻撃対象によっては十分な対策が取られていないことも多く、実際にリバースブルートフォース攻撃による被害も発生しています。

リバースブルートフォース攻撃とは?仕組みや危険性、対策について徹底解説|サイバーセキュリティ.com

また、特定のサービスで情報漏えいが起きた場合、そこで漏えいしたパスワードが、ダークウェブなどを経由して攻撃者の手に渡る可能性もある。攻撃者はこういった方法で入手したパスワードをログイン画面に入力し、ランダムなIDと組み合わせてログインを試していく。Webサービスの多くは、パスワードを数回間違えるとログイン機能を停止し、再ログインが制限される「アカウントロック機能」を有する場合が多い。しかしリバースブルートフォース攻撃では、パスワードではなくIDを変更していくため、この対策は無力化されてしまうのだ。

リバースブルートフォース | サイバーセキュリティ情報局

一度でも漏れたパスワードは別のアカウントでも使わないようにしませう。

Google パスワード マネージャー

f:id:palm84:20210220182119p:plain

Androidスマホ、Google Chrome など Google アカウントに保存しているパスワードの診断ができます。

  • パスワード チェックアップ

f:id:palm84:20210220182123p:plain

※「脆弱な...」は修正、「使い回し...」は、ログインページが違う同じサービスでした… やれやれ。

参考リンク

Google Chrome のセキュリティ設定

Chrome を使ってないので知らなかったけど、Google のセキュリティ機能はどんどん強化されてる様です。

  • セーフブラウジング
    • 設定 プライバシーとセキュリティ セキュリティ セーフブラウジング

f:id:palm84:20210220182144p:plain

f:id:palm84:20210220182148p:plain

  • パスワード
    • 設定 自動入力 パスワード

f:id:palm84:20210221170953p:plain

f:id:palm84:20210220182140p:plain

参考リンク

Firefox Monitor にアドレスを登録

Google (Chrome) と機能が被るけど、私はこちらも利用してます。

Firefox アカウントでメールアドレスを登録しておくと、漏洩時に通知メールが来ます。

  • Firefox Monitor
    • (メニュー Firefoxアカウント Firefox Monitor)

f:id:palm84:20210220182102p:plain

f:id:palm84:20210220182106p:plain

データーベースは前述の「Have I Been Pwned」を利用しています。

f:id:palm84:20210220182113p:plain

  • 流出内容の詳細は前述の「 Have I Been Pwned」よりわかりやすいかも

f:id:palm84:20210221001824p:plain

参考リンク

Firefox Lockwise

Google (Chrome) と機能が被るけど、Firefox 内蔵のパスワード管理ツール。

  • Firefox Lockwise - ログインとパスワード (about:logins)
    • (オプション プライバシーとセキュリティ 保存されているログイン情報)

f:id:palm84:20210220182127p:plain

  • 設定「ログインとパスワード」
    • (オプション プライバシーとセキュリティ)

f:id:palm84:20210220182132p:plain

参考リンク

2要素認証

多要素認証(たようそにんしょう、英語: Multi-Factor Authentication、英: MFA)は、アクセス権限を得るのに必要な本人確認のための複数の種類の要素(証拠)をユーザーに要求する認証方式である

多要素認証 - Wikipedia

私見ですけど、まずは認証アプリ、バックアップとして SMS、メール 等かなと。

参考リンク

いろいろ

パスワードリマインダー

「秘密の質問と答え」はまともに答えてはだめでしょう。

関連拙作めも

ほなですね!