パスワード管理ムズすぎ。セキュリティの専門家が考える対策は？

【『データセキュリティ法の迷走』購入はこちら！】
・VALUE BOOKS → www.valuebooks.jp/bp/VS0088528762
・Amazon → amzn.to/49TxQ1f
※VALUE BOOKSで買ってもらえると我々に書店利益が入るので大喜びします。

「杉並警察署少年課補導室で反省文を書く衒学家インターネット芸人31歳」という文字列、最高すぎるのでパスワードに使おうと思います

パスワードを使い回さないようにしたら自分すらログインできない最強のセキュリティが完成してしまったことがある

デジタルセキュリティ所。
wedサービスを始めるに当たっては越えなきゃいけないって事で、現代のセキ所って事ですねっ

4:00 えと、会社の隣の席のITのおじさまに、自分のパスワードがいかに素晴らしいか、教えてもらったことがあります。😂

公衆衛生に似ているという発想はなかったです。目から鱗でした

セキュリティ所の難しいところは、サーバー構成や設計書なども見ないと判断できない事ですね。外部の人に見せること自体がセキュリティリスクになってしまいます。
セキュリティテストの様に外部から攻撃して検証する手段もありますが、Twitter 社がログにパスワードを平文で保存していた事件（実は Twitter 社もやらかしてます）などは、発見が非常に困難です。
近年、政府系の事業を請け負う場合「情報処理安全確保支援士がいること」という条件が増えてきています。
大手はそれでよいのですが、問題になるのは中小企業や個人が立ち上げた WEB サービスですね。
国が認定しているセキュリティ認証マークはいくつかありますが、WEB サービスに特化したものは、まだなかった気がします。（未調査）

googleやTwitterと紐づけてアカウント登録するやつ、どれと紐づけたのか分からなくなる

さすが堀元さん、常人では体験できないエビソードを持ってる

『何か起きたらマズイ』みたいな法律ってだいたい何か起きてからできるよね…

証券会社勤務の人間です、パスワードと取引暗証番号が違うの訳分からん！ってお問い合わせは結構頂いているのですが、セキュリティを考えるとなかなか統一するのは難しい問題でして……本当に申し訳ない気持ちでいっぱいなんですが、むしろ何か解決策があれば教えて欲しいくらいです……

PSYCHO-PASSの話だ！っておもったらマイノリティ・リポートの話でした。ちくしょー！

推しのVTuberが「あらゆるパスワードに誕生日を用いてるから誕生日を公開しない」と言ってて、身バレ防止とかじゃなく面白かった

4:29 Problem between chair and book

おそらく水野さんは「アラートが出すぎると人はアラートを気にしなくなる」という話題をゆるコンピュータ科学ラジオで扱ったことを忘れている

パスワードの特定なんて桁が増えるほどめんどくさいんで、
一切のルール無視してローマ字でいいから覚えやすい言葉でとにかく長くすることが一番な気がします。

パスワードの定期的変更を求めたり、最大文字数が8文字だったりするサイトを行政に通報できる仕組みがほしいなぁ。今かなりの銀行がちゃんとやれていないもの

こういう「行政が事前に監査する」って発想、逆張り芸人なら「テクノロジーはどんな思想にも縛られない、自由な存在であるべきだ！」みたいなこと言ってすげえ反発しそう

確かに公衆衛生と近いですね。特にターゲットの件を聞くと強くそう思います。

楽しみに待ってました

なんやかんや持ってる国家資格「情報安全確保支援士」
動画内での提案を実現するような仕組みに対する布石なんだろうか

13:15 うーん少なくとも写真アップだと「誰に対して」その写真を表示すればいいのかを「事前(ログイン成立前)」に決めれない気がする。パスワ入力前に写真表示しちゃうと逆に攻撃者がアカウント名の総当たり攻撃を単純にやるだけで写真見れちゃうし。

パスワードを覚えられない問題、PCに付箋でパスワードを貼っておくのはどうだろうか？

20:49
水野さん「are」

15:47 二段階認証（ちなみに二要素認証のほうがより適切）の面倒くささ分かります！
個人的には、スマホがパスワード代わりになる「パスキー」(Passkeys) によるパスワードレス認証が普及すると良いのですが。

水野さんのパスワードは
Daikon + 生年月日
とかであってほしい

デジタル庁じゃなくてデジタルセキュリティ庁を作れと主張している人がいました。
ただ今の日本の行政も大企業もデジタルポンコツばかりらしいので…みずほ銀行とか

ブラウザのパスワードマネージャに覚えさせるのがどのくらいリスクがあるのか、定期的変更はアカン、などもやってほしいです！

そこそこ大手のIT企業にいます、近年webappネイティブapp共にリリース前、または定期的にセキュリティテストを置くことが増えてきています。ここで話してる行政的なものではないですが、事前チェックの必要性は浸透し始めてるのかもしれないですね。

無限の記憶力と情報収集能力が当たり前に求められる現社会、無理すぎて淘汰されるしかない

どこだったか忘れたけど
パスワードの変更が定期的に必要 & 過去に使用したパスワードは使えない
というのがあって困った。

水野さんの名古屋弁からしか得られない栄養がある

IPA（国際音声記号でなく、独立行政法人情報処理推進機構）が周知・啓蒙したり、情報処理安全確保支援士を普及させたりしようとしてるけど、まだまだ道半ばだなぁ。支援士もしばらく必置資格にはならなそうだし、法整備が無いままでは動きづらい印象。

これってIDを入力だけで画像を取得できてしまうなら偽サイトが元サイトを参照して表示できるのでは…？

その監査制度、プライバシーの頭文字を取って「Pマーク制度」という名前はどうでしょうか
大手との取引や入札の必須条件にすればみんな取得するし、Pマークコンサルなど周辺事業も創出できていい事ずくめですね

2要素認証も気休め程度の予防策だと思うようになりました。
SIMスワップでスマートフォン(というか回線ですかね)を乗っ取られた瞬間、
「あれ、圏外になった」といぶかしんでいる間に証券会社や銀行口座から全額引き出されているのは悪夢ですよね

セキュリティにおいて日本語には圧倒的なメリットがあります。日本語のローマ字表記は非日本語圏には意味ある文字としての理解が難しいのです。
日本語をローマ字表記にして少しいじるだけで覚えやすいのに複雑なパスワードが簡単に生成できます。

従来の解決策はあまりに人間的制約を無視している、という主張、今まで何となく思っていた違和感をよくぞ言語化してくれた！という気持ちです

2者間認証擬きですが、りそな銀行は従来からやっていますね。
ただし、りそな銀行は、パスワードを90日ごとに変更させようとしてウザイです。

積読チャンネルじゃないのに積読を増やさせないでくれ

11:48 私は「それPSYCHO-PASSやないかい」でした。笑

33:02 リスク評価で真っ先に引っかかるであろうnoteを巧みに隠蔽する堀元氏

少年課の補導室で反省文を書いたことがあるおじさん

最近では、 サイバー・ハイジーン ／ サイバー衛生 ／ サイバー公衆衛生 や オフェンシブ・セキュリティ という概念があります。
また、サイバーセキュリティ遵守に（全業態で直接的に）関する法律は現状ありません。ガイドライン等による自己評価に留まりますね。（個人情報保護法や犯罪収益移転防止法くらいでしょうか）
で、二段階認証 は 二要素認証 と表現した方が良いかと思います。

”反省文” にすると、警察の仕事は増えるのか／減るのか、どちらの目論見なのだろう。

28:26 保健所かぁ…。システム作る側は中身の事情を見せたがらなそうだし、レビューする保健所側も担当者の数/質が確保できなさそう。AI化しても十分に学習するまで時間かかりそうだし、その保健所AI「が」漏洩したらと思うと…。あとITは保健所の指導が時代遅れになりやすそう。あとbusinessじゃない場合をどうするか…

メールやプロキシなど電気通信の仲介をする場合は電気通信事業者の登録があるけど、あれはどちらかというとセキュリティというよりは設備、インフラ関係の制約だからなあ

失敗への制裁を強めにすると人は隠蔽し始めるからなあ

昨日マイノリティリポートを観た所になんてタイムリーな動画…！
パスワードは面倒臭くなって全部同じにしてしまっていますが、使い分けが重要なんですね～。

25:18 外注も可哀想だなー。このように外注だからといって作業環境の精度を社内より下げるのはトータルで製品の品質を下げる結果になるからヤメタほうがいいと感じてます。いわば偽のコスト削減。

わーい。水野さんの名古屋弁回だ✨

自分は、ある文字列を入れ替えたり、文字種を変更したりする自分なりのややこしい規則を作って、それだけ覚えてる
あとは、「ペットの名前＋webサービス名」に対してその規則を適用して、パスワードにしてる
十分複雑で、忘れても割とすぐ復元できる
定期的に変更を強いられると訳わかんなくなるけどね……

4:04 Probrem exists between chair and konnpyuta

スノーデン氏のセキュリティ対策ツイートで笑った記憶がある
スマホはgraphen一択
pcはcubeosとtailsの両刀
ブラウザはtor
業務効率悪そうだなと思った

「任意の文字列」と「サービス名のn文字目のアルファベットを一文字ずらしたもの」をいくつか組み合わせたものを使っている
これで(サービス名が変更しない限り)パスワードを使いまわしつつ覚えられる

私のパスワードは好きなバンドの解散日と推しの会社の旧社名と新社名です。

データセキュリティ法の迷走取り上げてくださるなんて。。。
職業柄個人情報保護法かじっていて、委託先に情報セキュリティにかかるチェックリストを提出させていますが、前年度のものをそのまま提出し（法改正で内容変わったことを周知したうえでも）、かつ我々もコミュニケーションが億劫で適当にヒアリングして受け入れてしまうことがままある（当局に疎明できればよいので…）ので、痛いところをつかれてしまいました。

最近責められるデータ漏洩って会社のPCを酔って落としたとかの事例が多くて、社会としてある程度理解はされつつあると思うな。

ほりもとさんが言ってる写真で銀行認証するの、本っ当にいいと思った。
あと、ハッシュ関数の話も面白かった。不可逆の変換なんて出来るの？って思うので調べてみる。

12:55
その作りだとID入れただけで交換した画像が詐欺師に見えちゃうから逆効果です。

13:02 自分の送った写真で確認する。
これやってるところは見た事ないけど似たような事で三井住友カードのメールにはニックネームをつけられるので、「山田 太郎 様」って来るところを「ようつべ 様」みたいに明らかに自分の設定した宛名で来てるな、と判断できるサービスあるの思い出した

労基や保健所があっても被害はなくならないけどまぁ「多少はマシになる」ってことなんだろうけど。「多少はマシになる」が情報セキュリティにとって有効かどうかですかね。

パスキーは端末のパスワードと生体認証で覚える必要もないし、盗まれる可能性もまだ低いから、現実的な解として十分ありだなぁ
指紋盗まれる、顔認証の誤りリスクがどの程度かは気になるけど

最近のゆるコンピュータ科学ラジオ、おもろい

セキュリティはサイバーハイジーンという手法、考え方が大事とされていますね

セキュリティ所というより、
会社の監査する際にセキュリティの
項目入れればいいのでは？

水野さんが言語学に特化した人間で面白いですwww😊

マイノリティリポートを映画じゃなくてF・K・ディックの名前で出すの良いっすねえ。
映画も最高ですけんど。

31:26　ザッカーバーグ超えの堀元さん

パスワードを定期的に変更させるのやめろ警察「パスワードを定期的に変更させるのやめろ👮」
(お陰で、キーボードを上下左右に連続して押すパスワードが…)

Nisa やるぞー！と　意気込んで手続きしたけど、パスワード　もう分からず。　右肩上がりの経済のグラフ見つめながら、参加できずに泣いてます。

パスワードというとソースは眉唾な話だけど、セキュリティリスクがある4桁パスワードワーストになぜか日本だけランダムな数字があって話題になったらしい(某押井アニメのキーワードなのでみる人が見ると秒で察するとか)
ここの中にも使ってる人がいるんじゃないですか？

セキュリティ所があるせいでイノベーション起こらなそうだからつくらない派閥です。
サイバー犯罪対策課がハッキングしまくってサーバーをダウンさせまくったらそれに対応するためにセキュリティレベル上がりそう

2段階認証はパスワード破られてもなんとかなるからありがたい

フィッシング詐欺はghotiing詐欺という理解で合っているでしょうか？

自分は重要度によって、何段階かに分けてますね。

セキュリティ所なんてデジタル庁のあり様を見たら人材的に無理でしょ
未だに自動車とか重厚長大に手厚い政治家はそんな決断できない

パスワード自体がもはや危ういような気がしています。
本来、パスワードが他人に盗まれないように通信処理の中で暗号化が掛かるのですが、
最近はパスワード自体を盗まず、「パスワードで認証成功した手段と結果」を暗号化が解読されないまままるっと盗むケースがあったらしいのです。
やってることは脳筋なのに、マンガの異能バトルで終盤に出てきそうな、メタ読み系の異能が出てきて「え？どうすりゃ勝てるの？」とちょっとした絶望感を覚えましたね。

ログイン前に写真表示は、リレー攻撃(ユーザが偽サイトに入力したアカウント名を、裏で本物サイトに送って写真を取りよせる)でダメなのでは。

「社会的課題にして行政に動いてもらう」
世の中にはいろいろな課題があって 突き詰めると みんなこの結論になってしまう　ちょっとつまらなかったです

反省文って言うと面白ワードになりますが遅延理由書ですかね？
届出や申請が遅れたら添付するよう求められるやつです。
年間10件くらいは「提出期限過ぎてるので遅延理由書もください」って言ってます。はよ出せや。

Happy Birth Day To You
みたいな覚えやすい任意の文から
HBDTYを取り出して
HBDTY+サービス名(例:youtube)とかにするとサービスごとにパスワードが変わる上に覚えやすくて良い。
数字とか記号必須の場合はHB0TYみたいに変えて、変える位置と文字は固定にしておく。

セキュリティ所あると良いけど、本社、サーバーが海外だとチェックされなかったりしそう。

方向性は違うけど、今その保健所に当たるもので一番近いのが、アプリとかのプラットフォームの審査だよなぁ

本行確認の写真の例だけど、IDを入れたら自分が提出した写真が出てきて「お、ちゃんと本行だな」ってわかるってことだけど、だったらフィッシングサイト側がいろんなIDをひたすら入れて写真を収集して偽サイト側がより強くなるだけでは？

14:42 これは目から鱗っすねΣ（・□・；）
この本買おっかなぁ…
21:37 ああわかります、わかります!
「こういうアプリ作ってみたいなぁ」→「ああ、でも個人情報をミスって流出してしまったら((((；ﾟДﾟ))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ」→「やっぱやめとこっか…」
みたいになりますね…(汗
意図的にIPアドレスをとったりして不正にやったらそりゃあ叩かれるでしょうけど、なんで赤の他人の悪意のために叩かれないといけないんでしょうか…と思いますね…(汗

23:32
何年か前にエクアドルの全国民の個人情報が流出した事件あったよなあと思って調べたら、それでも2000万人だった
アメリカの規模ってすごい

セキュリティ所は税務署みたいに申告もさせつつ、ランダムに最低限の攻撃を仕掛け守れなかった場合に罰金するのはどうだろ

国による施策はインターネットは属地的でないから意味なくない？国内企業だけ不利になるだけでは？

事前チェックというと、ISMS認証とかPマーク認証とかあるけど、任意だからなー

ペネトレーションサービスを業務としてやっている会社はあるけど、それを行政がやろうとすると難しいのは法律だろうか。簡単に言えばチェックのために攻撃を仕掛けるのが是か否か。専門知識を有するマンパワーもいる。ある程度自動化も出来るだろうが、不測の事態の責任は取れない。データ全部消えちゃいました、とか。

保健所のような政府が指導するようになるとまた既得権益が蔓延って現実世界のにのまえになるので反対だな～
保険屋とかがやればいいんじゃない？

16:00 ここで堀元さんも「そうだなあ。なまらこわいべや！」って北海道弁で返すとシャレオツだったかも。(「非常にシンドイよね」)

誕生日すらまともに覚えられない記憶力弱者なのでパスワードが大量に必要な文化で詰みかけます...

30:27
タイムリーな話だなぁ(某証券会社の話)

マイナンバーカード作る時にパスワードを3つも設定させられるのに閉口した。　実際使うときは1個しか要らないのに！
それを使ってe-Taxで確定申告をするのにもウンザリしました。　手順が煩雑すぎるし、説明もわかりにくいし、UIも首を傾げざるを得ない部分があり
何時間も試行錯誤させられた。来年もまたUI変わって同じく試行錯誤やらされるんだろうなー。
お役所仕事ってさー・・・
たとえ「ITビジネスセキュリティ保健所」みたいなものが出来ても、とんでもない問題が頻発するだろうなあ

りそな銀行のログインが写真の選択がある

堀元さんの反省文、扱いとしては公文書になってずっと保存されたりするんかな？ｗ

ゆるコンはこれくらい社会寄りのテーマがいい気がする
コンピュータサイエンス方向からのアプローチは、一般向けエンタメにするには複雑すぎる

みんなパスワードの前提が、知り合いが自分のを推測できないように、くらいにしか思ってないよな