Upgrade to Pro — share decks privately, control downloads, hide ads and more …

パスワードに関する最近の動向

 パスワードに関する最近の動向

セキュリティのアレのPodcastの「第137回 KEV大好き!からのパスワードネタ三連発!スペシャル」、「第138回 あるある募集と謎草プロジェクト始動!スペシャル」にてパスワードに関する話題がありました。
これを社内勉強会で共有した際のスライドです。

kenchan0130

July 26, 2022
Tweet

More Decks by kenchan0130

Other Decks in Programming

Transcript

  1. プリンストン⼤学が、 パスワードのベストプラクティスに準拠しているかを 120のWebサイトに対して調査したもの 1. 弱いパスワード(漏洩済みまたは推測しやすい [例: 12345])を許可していないこと 2. パスワードの強度メーターを提供していること 3.

    特殊⽂字の組み合わせを強制しないこと • Passw0rdみたいなものを設置されやすい 5 多くのサイトがベストプラクティスに準拠してない https://passwordpolicies.cs.princeton.edu/ assets/password_policies_draft-latest.pdf
  2. • ⽂字種を求めるようなものは、たとえ効果がなくて も⼀⾒セキュリティを重視しているように⾒受けら れるため(セキュリティ劇場と⽐喩されていた) • 多要素認証があるからパスワードポリシーの強化が 必要ないと考えている • SMSの場合は特に脆弱なので避けるべき •

    Web サイトはセキュリティ監査に合格する必要があ り、このような監査を⾏う会社が時代遅れの⼿法を 推奨したり、義務付けたりしている • セキュリティ専⾨家では常識でもアプリケーション 開発者は知らない可能性がある 9 どうしてこのような結果になってしまったのか
  3. • LastPassにログインするマスターパスワードをなく すことができる • LastPass Authenticatorモバイルアプリに通 知を⾶ばしてOKってするやつ • LastPassのようなサービスがこれやるのは セキュリティ的にあまりよくない気がす

    る? • 弊社はSSOしてるので関係ないはず(要確認) • セキュリティキーや⽣体認証も2022年中にはサポー トするトノコト 15 LastPass、パスワードレス対応頑張るよ! https://blog.lastpass.com/2022/06/ passwordless-is-possible-lastpass-gets- you-there-sooner/