パスワードの定期的変更がセキュリティ対策として危険であること | まるおかディジタル株式会社
インターネットサービスとイントラネットサービスを同じで語るのは無理がある。パスワードの個別化はどちらの場合でも有効である一方で、データの保管方法の問題点を認証ロジックの問題点のようにするのは飛躍しすぎ
2015/06/12 09:32
よんだ。
部分的には同意するものの、後半の事例紹介があまりにも極端な例すぎるため全般的に消化するのに無理がある内容となっている気がします。
まず、前半部分はこれまでもネット上で論争があった内容のおさらい程度ですので、ここの意見はあるとしてもそれはそれでさらっと流せる部分です。
一方で、アリババ以降の話あたりから疑問が膨らみ始めます。
まず、アリババがお頭のパスワードを盗み聞きし、結果財宝を盗むくだりですが、あの問題点は「認証プロセスを晒したから」ということには同意します。
一方で、その部分の後半では、ワンタイムパスワードの部分で突然モグラが出現し、その存在にアリババが気づいていないことになっています。
なお、鳥だと気づかれるのでモグラ、としていますが、それに意味はありません。
そもそもこの例は「認証プロセスを晒した」という前提なので、鳥でもモグラでもに段階認証が存在している事実はアリババに知られているべきで、それを知らないという仮定にたつと、もはや前提条件である「認証プロセスを晒した」という例にはなりえません。
そのため、プロセス上の重要性はモグラはお頭とアリババを識別し、適切な相手にのみワンタイムパスワードを渡すのか?という点が実はロジック上の肝になっているのはいうまでもありません。
これは「認証プロセスの秘匿」の問題よりも、「本人確認」という検証プロセスの適切さの問題です。
例えば現実世界の2段階認証はどうやっているかというと、そもそもログインを実施する相手が誰であるかの判断はできません。
(この例では「ほらあな」にはアリババとお頭の区別がつかない)
そこで、メールやSMS、アプリ等「そのアカウントを保有する個人が自身を判断するのに適切であると指定しだ手段により確認を行う」ことにより、そのログインを実行する相手が、本人であるかどうか確認しているのです。
一方で、そのメールやSMSにも利用者本人を個別に識別する能力はありません。
しかし、ログイン処理が行われる際に2段階認証が行われるとして、どの手段を用いているのかがわからない限り、安易に突破することは難しくなります。
よって、実はこの例では2段階認証を使うものの「モグラ」がその認証に使われることがばれてしまうというのは致命的なのです。
おおそらくその部分に記事主も気づいているので「鳥ではなくモグラ」としているのですが、その事実をもってしても「モグラの存在にアリババが気づかない」という設定は無理があります。
あまりこの部分に解はないのですが、結論、この例でのポイントは現実世界のメールやSMSの管理と同様に、「お頭」が「モグラ」をどのように管理しているのか?という点がセキュリティの強度を示すことになりますので、それ以外の部分はあまり重要ではないということになります。
また次の例も違和感を感じます。
この部分の前半ではパスワードは根本的に人目につく(入力が仮に表示されないにしても)行為は避けるべきであるという指摘で、これはそれほど違和感はありません。
しかしその次あたりからちょっと話がずれてきます。
「パスワードの変更回数が増える=認証プロセスの秘匿が脅かされる」という前提ですが、これはどのシチュエーションを前提にするかにより異なります。
実はこの話「晒す」という仮定の前提条件が非常に難しいのです。
インターネット上のパスワード漏洩の多くは、パスワードを晒したことにより起きるものではありません。
多くの場合、ある事件(事故)によって、業者側からパスワードが漏洩し、そのパスワードを使われることで、2次・3次と被害が拡大している状況です。
一方で、現実社会での被害は「晒す行為の頻度」により被害にあう確率が上がるということはその通りです。
例えば、ATMでの暗証番号の入力は、常にリスクが伴います。
覗き見られる可能性もありますし、そもそもカメラのようなものが設置され、盗撮されるリスクもありますので。
よって、ATMを利用する場合に設定されている暗証番号はその他のものと共有することは本来許すべきではありませんし、もしも暗証番号をなんらかのプロセスで利用するならば、それ以外の方法で再度確認が必要となります。
この話は、銀行系の認証プロセスがそれにあたります。
例えば、三井住友銀行では第1暗証から第3暗証まで存在しています。
第1暗証とは、ATMで用いる4桁の数字です。第2暗証とは暗証カードに記載された暗証コードまたは専用トークンを用いたコード認証です。第3暗証とはその暗証カード等が送付された際に台紙に印刷されたコードのことです。
これらのうち、第1暗証は原則として「人目に晒される」ことを前提とした暗証番号であるため、その他の手段の認証(送金や契約等)には利用しないことが前提となります。
この方法は、前述の「晒す」という行為に対するリスクの度合いを上手に活用した事例です。
一見すると暗証カードや専用トークンは物理デバイスである為、暗記する第1暗証よりも漏洩リスクが高いようにも思われます。
しかし、物理デバイスの利点はその重要性に応じて自らそのデバイスを保護する手段を講じることが可能である、という点にあるでしょう。
例えば、会社の口座であれば社外にこれらの認証に関わるデバイスを持ち出すことはないでしょう。
もっと言えば、これらのデバイスは適切な手段で保管(金庫、施錠されたロッカー、引き出し等)されており、その保管もアクセス権を適切に設定することでデバイスの悪用を阻止できます。
これは「晒す」という行為は完全に防げないにしても「晒す」ことが発生する「場所」や「相手」を限定することで、リスクを下げる効果を持ちます。
これは第1暗証も第2暗証も「晒す」という行為の有無や頻度のみで議論するならば同等のセキュリティレベルであるでしょうが、これらは明確に利用方法や管理方法を多様化する余地を残す事で、同一のセキュリティレベルとならない対策としています。
セキュリティとは常にトレードオフとの戦いです。
なんでも高く、なんでも理想を求めればよいというものではありませんし、そのような行為をすれば、結果待ち受けているのは機能しないセキュリティ対策がはびこる世の中になるでしょう。
この記事は全体的に悪くない指摘や提言をしているものの、その事例は適切でなく、一歩間違うと誤認される恐れがあると感じます。
手段は適切な方法を適切な場所で適切に施す事で、効果とコストのバランスをとる事ができます。
仮に、あの記事の重要ワードが「パスワードの定期変更は無意味」であるとするならば、その話に重ねる重要なキーワードは「ログイン者の本人確認手段」でしかありません。
もっとも、その場合「本人確認手段」という認証方法により認証プロセスの強度が判定されるという矛盾と、「本人確認手段」という認証を行う事により認証の多重化が発生し、結果、記事で否定している多重化は認証強度に寄与しない、という事と矛盾が発生しますが…
だらだらと書きましたが、事例をもう少し整理すればもっと良い記事になるのではないかと感じました。