Upgrade to Pro — share decks privately, control downloads, hide ads and more …

パスワードに関する最近の動向

kenchan0130
July 26, 2022
Programming
1
560

 パスワードに関する最近の動向

セキュリティのアレのPodcastの「第137回 KEV大好き!からのパスワードネタ三連発!スペシャル」、「第138回 あるある募集と謎草プロジェクト始動!スペシャル」にてパスワードに関する話題がありました。
これを社内勉強会で共有した際のスライドです。

kenchan0130

July 26, 2022
Tweet

More Decks by kenchan0130

See All by kenchan0130
組織デバイスのための効率的なアプリケーション更新戦略
kenchan0130
0
520
運用していくアプリケーション開発のヒント
kenchan0130
0
330
Local Administrator Password Solution for macOS with Jamf Pro / コーポレートエンジニア・カジュアルトーク #2 実例LT
kenchan0130
0
1.2k
FOLIO のこれまでの情報セキュリティへの取り組みについて / Scramble! #2 Security
kenchan0130
1
1.4k
運用を続けていくための Scala の書き方 / scala.rookies#1
kenchan0130
3
1.2k
イノベーションを止めずに、端末管理と運用を行う方法 / builderscon tokyo 2018
kenchan0130
14
5.2k
イノベーションを止めずに、端末管理と運用を行う方法 発表ノート付き/ builderscon tokyo 2018
kenchan0130
1
580
教育・企業におけるデバイス管理について
kenchan0130
2
1.4k
教育・企業におけるデバイス管理について 発表ノート付き
kenchan0130
0
520

Other Decks in Programming

See All in Programming
Jakarta EE meets AI
ivargrimstad
0
130
Macとオーディオ再生 2024/11/02
yusukeito
0
370
Realtime API 入門
riofujimon
0
150
Ethereum_.pdf
nekomatu
0
460
距離関数を極める! / SESSIONS 2024
gam0022
0
290
Arm移行タイムアタック
qnighy
0
330
Amazon Bedrock Agentsを用いてアプリ開発してみた!
har1101
0
340
AWS Lambdaから始まった
Serverlessの「熱」とキャリアパス / It started with AWS Lambda Serverless “fever” and career path
seike460
PRO
1
260
タクシーアプリ『GO』のリアルタイムデータ分析基盤における機械学習サービスの活用
mot_techtalk
4
1.5k
EMになってからチームの成果を最大化するために取り組んだこと/ Maximize team performance as EM
nashiusagi
0
100
TypeScriptでライブラリとの依存を限定的にする方法
tutinoko
3
690
Quine, Polyglot, 良いコード
qnighy
4
650

Featured

See All Featured
Building Applications with DynamoDB
mza
90
6.1k
Adopting Sorbet at Scale
ufuk
73
9.1k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
8.2k
The Pragmatic Product Professional
lauravandoore
31
6.3k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
900
How to train your dragon (web standard)
notwaldorf
88
5.7k
The World Runs on Bad Software
bkeepers
PRO
65
11k
Agile that works and the tools we love
rasmusluckow
327
21k
A designer walks into a library…
pauljervisheath
204
24k
KATA
mclloyd
29
14k
Designing for Performance
lara
604
68k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k

Transcript

  1. 1 パスワードに関する最近の動向 2022/07/25 証券基盤部勉強会 Copyright © 2019 FOLIO Co., Ltd.

    All Rights Reserved.

  2. https://www.tsujileaks.com/?p=1232 2 https://www.tsujileaks.com/?p=1237 セキュリティのアレでパスワードネタが話題

  3. Podcastを全部聴くのは⼤変なので 掻い摘んで紹介 3 セキュリティのアレでパスワードネタが話題

  4. Webサイトにおける パスワードポリシーの研究結果 4

  5. プリンストン⼤学が、 パスワードのベストプラクティスに準拠しているかを 120のWebサイトに対して調査したもの 1. 弱いパスワード(漏洩済みまたは推測しやすい [例: 12345])を許可していないこと 2. パスワードの強度メーターを提供していること 3.

    特殊⽂字の組み合わせを強制しないこと • Passw0rdみたいなものを設置されやすい 5 多くのサイトがベストプラクティスに準拠してない https://passwordpolicies.cs.princeton.edu/ assets/password_policies_draft-latest.pdf

  6. • Webサイトの半分以上(71/120)はパスワードを まったくチェックしていない • 19のWebサイトが、最も⼀般的なパスワードの半分 未満をブロックしていた 6 弱いパスワードを許可していないこと https://passwordpolicies.cs.princeton.edu/ assets/password_policies_draft-latest.pdf

  7. • 23/120のWebサイトのみがパスワード強度メーター を使⽤していた • 23のうち、10のWebサイトは、メーターの実装が正 しくなかった • 推測可能性について⾔及していない 7 パスワードの強度メーターを提供していること

    https://passwordpolicies.cs.princeton.edu/ assets/password_policies_draft-latest.pdf

  8. • 54/120サイトでは、数字や特殊⽂字などの特定の⽂ 字が必要だった 8 特殊⽂字の組み合わせを強制しないこと https://passwordpolicies.cs.princeton.edu/ assets/password_policies_draft-latest.pdf

  9. • ⽂字種を求めるようなものは、たとえ効果がなくて も⼀⾒セキュリティを重視しているように⾒受けら れるため(セキュリティ劇場と⽐喩されていた) • 多要素認証があるからパスワードポリシーの強化が 必要ないと考えている • SMSの場合は特に脆弱なので避けるべき •

    Web サイトはセキュリティ監査に合格する必要があ り、このような監査を⾏う会社が時代遅れの⼿法を 推奨したり、義務付けたりしている • セキュリティ専⾨家では常識でもアプリケーション 開発者は知らない可能性がある 9 どうしてこのような結果になってしまったのか

  10. NISTがガイドラインを出しているので、 それを指標にして設定していくとよい 10 我々はどうしていけばいいのか

  11. マルチデバイス FIDOクレデンシャル 11

  12. • パスキーはWebAuthnの⼀つであるマルチデバイス FIDOクレデンシャルの別名(Apple⽤語かも) • パスワードなしでWebサイトにログインできる • 次期iOS/iPadOSとmacOSにパスキー機能が搭載さ れることが発表された • 正確にはmacOSの場合はiPhoneなどが別途必要

    • Webサイト側では別途対応するための実装が必要 12 パスキーがiOS/iPadOSとmacOSにくるぞ! https://developer.apple.com/videos/play/ wwdc2022/10092

  13. パスワードマネージャー動向 13

  14. • 1PasswordがFIDOアライアンスに加⼊したよ • FIDO系の機能頑張って⾏くトノコト • 1Passwordのデスクトップアプリケーションが WebAuthnのデバイスになる未来がくる 14 1PasswordがFIDOアライアンスに加⼊ https://blog.1password.com/1password-is-

    joining-the- fi do-alliance/

  15. • LastPassにログインするマスターパスワードをなく すことができる • LastPass Authenticatorモバイルアプリに通 知を⾶ばしてOKってするやつ • LastPassのようなサービスがこれやるのは セキュリティ的にあまりよくない気がす

    る? • 弊社はSSOしてるので関係ないはず(要確認) • セキュリティキーや⽣体認証も2022年中にはサポー トするトノコト 15 LastPass、パスワードレス対応頑張るよ! https://blog.lastpass.com/2022/06/ passwordless-is-possible-lastpass-gets- you-there-sooner/

  16. おわり