パスワード管理ムズすぎ。セキュリティの専門家が考える対策は？

【『データセキュリティ法の迷走』購入はこちら！】
・VALUE BOOKS → www.valuebooks.jp/bp/VS0088528762
・Amazon → amzn.to/49TxQ1f
※VALUE BOOKSで買ってもらえると我々に書店利益が入るので大喜びします。

「杉並警察署少年課補導室で反省文を書く衒学家インターネット芸人31歳」という文字列、最高すぎるのでパスワードに使おうと思います

パスワードを使い回さないようにしたら自分すらログインできない最強のセキュリティが完成してしまったことがある

セキュリティ所の難しいところは、サーバー構成や設計書なども見ないと判断できない事ですね。外部の人に見せること自体がセキュリティリスクになってしまいます。
セキュリティテストの様に外部から攻撃して検証する手段もありますが、Twitter 社がログにパスワードを平文で保存していた事件（実は Twitter 社もやらかしてます）などは、発見が非常に困難です。
近年、政府系の事業を請け負う場合「情報処理安全確保支援士がいること」という条件が増えてきています。
大手はそれでよいのですが、問題になるのは中小企業や個人が立ち上げた WEB サービスですね。
国が認定しているセキュリティ認証マークはいくつかありますが、WEB サービスに特化したものは、まだなかった気がします。（未調査）

デジタルセキュリティ所。
wedサービスを始めるに当たっては越えなきゃいけないって事で、現代のセキ所って事ですねっ

公衆衛生に似ているという発想はなかったです。目から鱗でした

4:00 えと、会社の隣の席のITのおじさまに、自分のパスワードがいかに素晴らしいか、教えてもらったことがあります。😂

googleやTwitterと紐づけてアカウント登録するやつ、どれと紐づけたのか分からなくなる

さすが堀元さん、常人では体験できないエビソードを持ってる

おそらく水野さんは「アラートが出すぎると人はアラートを気にしなくなる」という話題をゆるコンピュータ科学ラジオで扱ったことを忘れている

こういう「行政が事前に監査する」って発想、逆張り芸人なら「テクノロジーはどんな思想にも縛られない、自由な存在であるべきだ！」みたいなこと言ってすげえ反発しそう

推しのVTuberが「あらゆるパスワードに誕生日を用いてるから誕生日を公開しない」と言ってて、身バレ防止とかじゃなく面白かった

4:29 Problem between chair and book

『何か起きたらマズイ』みたいな法律ってだいたい何か起きてからできるよね…

PSYCHO-PASSの話だ！っておもったらマイノリティ・リポートの話でした。ちくしょー！

水野さんのパスワードは
Daikon + 生年月日
とかであってほしい

パスワードの定期的変更を求めたり、最大文字数が8文字だったりするサイトを行政に通報できる仕組みがほしいなぁ。今かなりの銀行がちゃんとやれていないもの

楽しみに待ってました

13:15 うーん少なくとも写真アップだと「誰に対して」その写真を表示すればいいのかを「事前(ログイン成立前)」に決めれない気がする。パスワ入力前に写真表示しちゃうと逆に攻撃者がアカウント名の総当たり攻撃を単純にやるだけで写真見れちゃうし。

なんやかんや持ってる国家資格「情報安全確保支援士」
動画内での提案を実現するような仕組みに対する布石なんだろうか

確かに公衆衛生と近いですね。特にターゲットの件を聞くと強くそう思います。

デジタル庁じゃなくてデジタルセキュリティ庁を作れと主張している人がいました。
ただ今の日本の行政も大企業もデジタルポンコツばかりらしいので…みずほ銀行とか

無限の記憶力と情報収集能力が当たり前に求められる現社会、無理すぎて淘汰されるしかない

パスワードを覚えられない問題、PCに付箋でパスワードを貼っておくのはどうだろうか？

そこそこ大手のIT企業にいます、近年webappネイティブapp共にリリース前、または定期的にセキュリティテストを置くことが増えてきています。ここで話してる行政的なものではないですが、事前チェックの必要性は浸透し始めてるのかもしれないですね。

15:47 二段階認証（ちなみに二要素認証のほうがより適切）の面倒くささ分かります！
個人的には、スマホがパスワード代わりになる「パスキー」(Passkeys) によるパスワードレス認証が普及すると良いのですが。

どこだったか忘れたけど
パスワードの変更が定期的に必要 & 過去に使用したパスワードは使えない
というのがあって困った。

証券会社勤務の人間です、パスワードと取引暗証番号が違うの訳分からん！ってお問い合わせは結構頂いているのですが、セキュリティを考えるとなかなか統一するのは難しい問題でして……本当に申し訳ない気持ちでいっぱいなんですが、むしろ何か解決策があれば教えて欲しいくらいです……

20:49
水野さん「are」

IPA（国際音声記号でなく、独立行政法人情報処理推進機構）が周知・啓蒙したり、情報処理安全確保支援士を普及させたりしようとしてるけど、まだまだ道半ばだなぁ。支援士もしばらく必置資格にはならなそうだし、法整備が無いままでは動きづらい印象。

ブラウザのパスワードマネージャに覚えさせるのがどのくらいリスクがあるのか、定期的変更はアカン、などもやってほしいです！

水野さんの名古屋弁からしか得られない栄養がある

昨日マイノリティリポートを観た所になんてタイムリーな動画…！
パスワードは面倒臭くなって全部同じにしてしまっていますが、使い分けが重要なんですね～。

「任意の文字列」と「サービス名のn文字目のアルファベットを一文字ずらしたもの」をいくつか組み合わせたものを使っている
これで(サービス名が変更しない限り)パスワードを使いまわしつつ覚えられる

従来の解決策はあまりに人間的制約を無視している、という主張、今まで何となく思っていた違和感をよくぞ言語化してくれた！という気持ちです

パスワードの特定なんて桁が増えるほどめんどくさいんで、
一切のルール無視してローマ字でいいから覚えやすい言葉でとにかく長くすることが一番な気がします。

最近責められるデータ漏洩って会社のPCを酔って落としたとかの事例が多くて、社会としてある程度理解はされつつあると思うな。

2要素認証も気休め程度の予防策だと思うようになりました。
SIMスワップでスマートフォン(というか回線ですかね)を乗っ取られた瞬間、
「あれ、圏外になった」といぶかしんでいる間に証券会社や銀行口座から全額引き出されているのは悪夢ですよね

11:48 私は「それPSYCHO-PASSやないかい」でした。笑

これってIDを入力だけで画像を取得できてしまうなら偽サイトが元サイトを参照して表示できるのでは…？

33:02 リスク評価で真っ先に引っかかるであろうnoteを巧みに隠蔽する堀元氏

セキュリティ所があるせいでイノベーション起こらなそうだからつくらない派閥です。
サイバー犯罪対策課がハッキングしまくってサーバーをダウンさせまくったらそれに対応するためにセキュリティレベル上がりそう

パスワード自体がもはや危ういような気がしています。
本来、パスワードが他人に盗まれないように通信処理の中で暗号化が掛かるのですが、
最近はパスワード自体を盗まず、「パスワードで認証成功した手段と結果」を暗号化が解読されないまままるっと盗むケースがあったらしいのです。
やってることは脳筋なのに、マンガの異能バトルで終盤に出てきそうな、メタ読み系の異能が出てきて「え？どうすりゃ勝てるの？」とちょっとした絶望感を覚えましたね。

積読チャンネルじゃないのに積読を増やさせないでくれ

28:26 保健所かぁ…。システム作る側は中身の事情を見せたがらなそうだし、レビューする保健所側も担当者の数/質が確保できなさそう。AI化しても十分に学習するまで時間かかりそうだし、その保健所AI「が」漏洩したらと思うと…。あとITは保健所の指導が時代遅れになりやすそう。あとbusinessじゃない場合をどうするか…

セキュリティにおいて日本語には圧倒的なメリットがあります。日本語のローマ字表記は非日本語圏には意味ある文字としての理解が難しいのです。
日本語をローマ字表記にして少しいじるだけで覚えやすいのに複雑なパスワードが簡単に生成できます。

14:42 これは目から鱗っすねΣ（・□・；）
この本買おっかなぁ…
21:37 ああわかります、わかります!
「こういうアプリ作ってみたいなぁ」→「ああ、でも個人情報をミスって流出してしまったら((((；ﾟДﾟ))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ」→「やっぱやめとこっか…」
みたいになりますね…(汗
意図的にIPアドレスをとったりして不正にやったらそりゃあ叩かれるでしょうけど、なんで赤の他人の悪意のために叩かれないといけないんでしょうか…と思いますね…(汗

失敗への制裁を強めにすると人は隠蔽し始めるからなあ

セキュリティはサイバーハイジーンという手法、考え方が大事とされていますね

少年課の補導室で反省文を書いたことがあるおじさん

スノーデン氏のセキュリティ対策ツイートで笑った記憶がある
スマホはgraphen一択
pcはcubeosとtailsの両刀
ブラウザはtor
業務効率悪そうだなと思った

労基や保健所があっても被害はなくならないけどまぁ「多少はマシになる」ってことなんだろうけど。「多少はマシになる」が情報セキュリティにとって有効かどうかですかね。

データセキュリティ法の迷走取り上げてくださるなんて。。。
職業柄個人情報保護法かじっていて、委託先に情報セキュリティにかかるチェックリストを提出させていますが、前年度のものをそのまま提出し（法改正で内容変わったことを周知したうえでも）、かつ我々もコミュニケーションが億劫で適当にヒアリングして受け入れてしまうことがままある（当局に疎明できればよいので…）ので、痛いところをつかれてしまいました。

ペネトレーションサービスを業務としてやっている会社はあるけど、それを行政がやろうとすると難しいのは法律だろうか。簡単に言えばチェックのために攻撃を仕掛けるのが是か否か。専門知識を有するマンパワーもいる。ある程度自動化も出来るだろうが、不測の事態の責任は取れない。データ全部消えちゃいました、とか。

パスワードを定期的に変更させるのやめろ警察「パスワードを定期的に変更させるのやめろ👮」
(お陰で、キーボードを上下左右に連続して押すパスワードが…)

パスキーは端末のパスワードと生体認証で覚える必要もないし、盗まれる可能性もまだ低いから、現実的な解として十分ありだなぁ
指紋盗まれる、顔認証の誤りリスクがどの程度かは気になるけど

25:18 外注も可哀想だなー。このように外注だからといって作業環境の精度を社内より下げるのはトータルで製品の品質を下げる結果になるからヤメタほうがいいと感じてます。いわば偽のコスト削減。

最近のゆるコンピュータ科学ラジオ、おもろい

12:55
その作りだとID入れただけで交換した画像が詐欺師に見えちゃうから逆効果です。

私のパスワードは好きなバンドの解散日と推しの会社の旧社名と新社名です。

パスワードというとソースは眉唾な話だけど、セキュリティリスクがある4桁パスワードワーストになぜか日本だけランダムな数字があって話題になったらしい(某押井アニメのキーワードなのでみる人が見ると秒で察するとか)
ここの中にも使ってる人がいるんじゃないですか？

マイノリティリポートを映画じゃなくてF・K・ディックの名前で出すの良いっすねえ。
映画も最高ですけんど。

自分は、ある文字列を入れ替えたり、文字種を変更したりする自分なりのややこしい規則を作って、それだけ覚えてる
あとは、「ペットの名前＋webサービス名」に対してその規則を適用して、パスワードにしてる
十分複雑で、忘れても割とすぐ復元できる
定期的に変更を強いられると訳わかんなくなるけどね……

2段階認証はパスワード破られてもなんとかなるからありがたい

フィッシング詐欺はghotiing詐欺という理解で合っているでしょうか？

自分は重要度によって、何段階かに分けてますね。

わーい。水野さんの名古屋弁回だ✨

セキュリティ所というより、
会社の監査する際にセキュリティの
項目入れればいいのでは？

メールやプロキシなど電気通信の仲介をする場合は電気通信事業者の登録があるけど、あれはどちらかというとセキュリティというよりは設備、インフラ関係の制約だからなあ

保健所のような政府が指導するようになるとまた既得権益が蔓延って現実世界のにのまえになるので反対だな～
保険屋とかがやればいいんじゃない？

堀元さんの反省文、扱いとしては公文書になってずっと保存されたりするんかな？ｗ

最近では、 サイバー・ハイジーン ／ サイバー衛生 ／ サイバー公衆衛生 や オフェンシブ・セキュリティ という概念があります。
また、サイバーセキュリティ遵守に（全業態で直接的に）関する法律は現状ありません。ガイドライン等による自己評価に留まりますね。（個人情報保護法や犯罪収益移転防止法くらいでしょうか）
で、二段階認証 は 二要素認証 と表現した方が良いかと思います。

アナログで馬鹿みたいだなぁと感じていた事例が続々出てきて感動するとともに、そのいずれもが個人の努力や一企業の技術力では解消しえない問題であったという事実に深い落胆を禁じ得ない。ただし補導室で感想文だけはローテク時代遅れおじさん感過ぎて許せん。

誕生日すらまともに覚えられない記憶力弱者なのでパスワードが大量に必要な文化で詰みかけます...

オラのパスワードは、とある映画の中でパスワードとして使われてたやつをそのまま使ってます。
今まで一度も破られたことないので助かってます。

ほりもとさんが言ってる写真で銀行認証するの、本っ当にいいと思った。
あと、ハッシュ関数の話も面白かった。不可逆の変換なんて出来るの？って思うので調べてみる。

サイト名、URL、ユーザ名、パスワードを
一括で記しておけるパスワード管理帳が
100均で売られてのを見つけて苦笑しちゃった

Nisa やるぞー！と　意気込んで手続きしたけど、パスワード　もう分からず。　右肩上がりの経済のグラフ見つめながら、参加できずに泣いてます。

水野さんが言語学に特化した人間で面白いですwww😊

哲学徒「勁草さんには足を向けて寝られない」
物理学徒「共立さんには足を向けて寝られない」
電子工学徒「コロナさんには足を向けて寝れない」

Happy Birth Day To You
みたいな覚えやすい任意の文から
HBDTYを取り出して
HBDTY+サービス名(例:youtube)とかにするとサービスごとにパスワードが変わる上に覚えやすくて良い。
数字とか記号必須の場合はHB0TYみたいに変えて、変える位置と文字は固定にしておく。

反省文って言うと面白ワードになりますが遅延理由書ですかね？
届出や申請が遅れたら添付するよう求められるやつです。
年間10件くらいは「提出期限過ぎてるので遅延理由書もください」って言ってます。はよ出せや。

セキュリティ所なんてデジタル庁のあり様を見たら人材的に無理でしょ
未だに自動車とか重厚長大に手厚い政治家はそんな決断できない

4:04 Probrem exists between chair and konnpyuta

31:26　ザッカーバーグ超えの堀元さん

堀元さんや水野さんが普段どれくらいの総数パスワード管理されててそのうちどれくらい記憶しているかってことも今回の話の中ではある程度は知りたかったなｗ

ゆるコンはこれくらい社会寄りのテーマがいい気がする
コンピュータサイエンス方向からのアプローチは、一般向けエンタメにするには複雑すぎる

13:02 自分の送った写真で確認する。
これやってるところは見た事ないけど似たような事で三井住友カードのメールにはニックネームをつけられるので、「山田 太郎 様」って来るところを「ようつべ 様」みたいに明らかに自分の設定した宛名で来てるな、と判断できるサービスあるの思い出した

金が関わるところはなるだけMFAを入れ、MFA を使えないところは、そこ専用のプリペイドを使うことを薦める。

方向性は違うけど、今その保健所に当たるもので一番近いのが、アプリとかのプラットフォームの審査だよなぁ

その監査制度、プライバシーの頭文字を取って「Pマーク制度」という名前はどうでしょうか
大手との取引や入札の必須条件にすればみんな取得するし、Pマークコンサルなど周辺事業も創出できていい事ずくめですね

セキュリティ所あると良いけど、本社、サーバーが海外だとチェックされなかったりしそう。

本行確認の写真の例だけど、IDを入れたら自分が提出した写真が出てきて「お、ちゃんと本行だな」ってわかるってことだけど、だったらフィッシングサイト側がいろんなIDをひたすら入れて写真を収集して偽サイト側がより強くなるだけでは？

事前チェックというと、ISMS認証とかPマーク認証とかあるけど、任意だからなー

23:32
何年か前にエクアドルの全国民の個人情報が流出した事件あったよなあと思って調べたら、それでも2000万人だった
アメリカの規模ってすごい

ログイン前に写真表示は、リレー攻撃(ユーザが偽サイトに入力したアカウント名を、裏で本物サイトに送って写真を取りよせる)でダメなのでは。

パスワード平文はなぁ……
顧客が「確認したいんだが？ユーザーからの問い合わせに答えたいんだか？」とか言ってくんだよなぁ……

始めてみましたが、面白かったです

飲み会行くんじゃねぇよって言われてて
飲み会行ってコロナ食らってる奴が叩かれてたように思える
個人の問題では？

こないだカズレーザーの週間しゃべレーザーって番組で、納言の薄幸がX乗っ取られた話のついでにカズレーザーが「僕は習慣的に全部変えてる」って言ってて、そんな人いるんだ……！って思った。