web-dev-qa-db-ja.com

リークに関係なく定期的にパスワードを変更するのではなく、havebeenpwnedでメールを確認するのはなぜですか?

haveibeenpwned については、現在多くのニュースがありますが、そもそもなぜそのようなサービスが必要なのか、よくわかりません。セキュリティを重視するユーザーは、重要なWebサイト(バンキング、電子メール、有料サービス)で定期的にパスワードを変更するので、漏洩してもそもそも影響を受けることはありません。 「パスワードを変更する」とは、企業環境で強制的にパスワードを変更するのではなく、サービスごとにランダムに生成されたパスワード文字列を作成することを指します。

では、なぜ人々はhaveibeenpwnedの使用にそれほど関心があるのでしょうか。リークに関係なく、適切なセキュリティ慣行に従っていないのはなぜですか?

68
JonathanReez

あなたの質問にはいくつかの誤った仮定が含まれています:

  • セキュリティを重視するユーザーは、重要なWebサイトで定期的にパスワードを変更します。

私のパスワードマネージャーによると、私は数百を超えるアカウントを所有しており、それらのほとんどが危険にさらされた場合、私に害を及ぼすでしょう。それらすべてを定期的に(90日ごとなど)変更することは、膨大な作業です。そこで、代わりにパスワードマネージャーによって生成された強力なパスワードを使用します。ただし、一部のサービスはパスワードをクリアテキストで保存します。

  • したがって、リークはそもそも影響を与えません。

すべてのパスワードを90日ごとに変更するとします。私のアカウントが侵害されて、攻撃者が私のパスワードの変更を含む何でもする時間がある89日がある可能性はまだあります。アカウントがリストにあることがわかったら、すぐに行動できます。

  • リークに関係なく、適切なセキュリティ慣行に従っていないのはなぜですか?

前のポイントを参照してください。

  • では、なぜ人々はhaveibeenpwnedの使用にそれほど関心があるのでしょうか。

影響を受けるアカウントを把握し、ハッキングされたサービス/アカウントがどこから来たかを把握する。

この知識があれば:

  • パスワードは瞬時に変更できます。
  • 機密性の高いデータやお金について信頼性が低いサービスを知っています。このサービスでの活動を終了する可能性があります。
  • このサービスにメッセージングシステムがある場合、アカウントが盗まれる可能性があるので、「友達」からのメッセージにもっと注意を払う必要があります。
  • 侵害された可能性のあるデータ(ハッキングされたサービスのデータ)を知っています。
141
H. Idden

多くの場合、パスワードの変更は もうベストプラクティスとは見なされていません です。

人々は [〜#〜] hibp [〜#〜] に興味を持っています。これは、違反に関する情報を一元化し、簡単にアクセスできるようにするためです。誰もがセキュリティを意識したユーザーであるとは限りませんが、パスワードの年齢の慣習に関係なく、情報はすべてのユーザーにとって貴重です。

68
they

人々が繰り返しパターンを使用することになるため、パスワードを定期的に変更すると、実際にはセキュリティが低下する傾向があります。

推奨事項は、各サービスに固有の強力なパスワードを使用し、侵害が疑われる場合にのみ変更することです。

HIBPは妥協の通知を出します。

32
Rory Alsop

メールアドレスが公開されているが、資格情報セットの一部ではない場合に便利です。例として、私はhad違反に含まれる電子メールアドレスですが、そのサービス/製品のアカウントを持っていませんでした。違反は、実際に私がサービス/製品によって使用されるマーケティングツールにありましたを使用しており、私のメールアドレスがマーケティング目的でツールに追加されていました。

私のメールアドレスがそのように公開されていたことを知っていたので、スパムやフィッシングの試みの増加に注意を払う必要がありました。

7
Aaron

ドメイン全体を監視するオプションがあります。社内の誰もが同じように気づいていたり、気にかけているわけではないので、これは非常に便利です。このような通知を使用すると、管理者として、たとえば新しいリークされたパスワードを持つユーザーに対して、追加のパスワード変更を強制します。

また、意識を高めること自体も重要です。

4
Esa Jokinen

他のすべての回答では、ベストプラクティスについて説明しています。しかし、「なぜ人々はベストプラクティス(何であれ)を使用せず、代わりにこのWebサイトを使用するのはなぜですか」という質問を額面どおりに受けてみましょう。

セキュリティの最大の問題は人間の要素です。それは人間の本性です。セキュリティを向上させるには、それを考慮する必要があります。

あなたは「セキュリティを重視するユーザーはそうするだろう」という質問を書きますが、「haveibeenpwnedの使用に人々はなぜそれほど関心を持っているのですか?」と質問します。まあ、それはサービスに興味を持っている多くの人々がセキュリティを意識していないからです。多分彼らは幾分意識しているかもしれません、多分彼らはこのニートのウェブサイトについてFacebookでちょうど聞いたことがあります。

母に「適切なセキュリティ対策に従う」ように(そしてそれらを説明するように)言うと、彼女は何もしません。
私が母にそのウェブサイトでどこでも使用している1つのパスワード/メールを確認するように伝え、それが侵害されていることを彼女に示した場合、彼女はおそらく重要なウェブサイトで少なくとも一度は変更するでしょう。

結局、それはユーザーのトレードオフです。
アカウントがハッキングされたことがなく、影響を感じたことがなければ、リスクは非常に低く、ベストプラクティスに従うためのコストは非常に高くなります。
一方、hawebeenpwnedのチェックは非常に低コストです。そして、それ自体をチェックインすることで、リスク評価が向上します。危険にさらされている場合、リスクが高いことがわかったので、Webサイトにアクセスした後、彼らはより良い慣行に従う可能性が高くなります。

ですから、それはより簡単でより便利であり、それゆえバイラルになる可能性が高くなります。これは私が共有できるものであり、セキュリティのない文盲の人々が使用し、気分が良く、共有することもできます。また、優れたセキュリティ対策への入り口でもあります。

3
Lichtbringer

リークに関係なく、適切なセキュリティ慣行に従っていないのはなぜですか?

定期的にパスワードを変更するのは適切なセキュリティ対策ではないだからです。これはハックであり、回避策です。

適切なセキュリティ対策は、パスワードが侵害されたと信じる理由がある場合は常にパスワードを変更することです。妥協が発生したと疑う理由は決してなかったので、私は10年間ルートパスワードを変更していませんでした。そのため、理由がなくてもパスワードの変更のコスト(わずかであっても)を作成することはナンセンスでした。

パスワードを定期的に変更するというアドバイスは、侵害の可能性を追跡することが困難または高額になったときに使用するものであり、定期的な変更はそれよりも簡単で安価です。基本的に、推論は次のとおりです。「パスワードが危険にさらされている可能性についての手掛かりがない場合は、統計的な平均をとって、注意を怠ります」。

したがって、havibeenpwnedなどの実際の証拠が表示される場合、推測されたヒューリスティックよりも実際のデータを使用することがalwaysの方が望ましいです。


補遺:

少し検索すると、正当な理由なくagainst定期的なパスワードの変更を推奨する多くの出版物を見つけることができます。免責事項:それらのいくつかは私のものです。このナンセンスは一般的な慣行かもしれませんが、それはa)がgoodの慣行にならないこととb)それでもキャンドルがactual dataに対応できることを意味しない。

2
Tom

パスワードマネージャーを使用している場合は、パスワードの変更が適切な場合がよくあります。そうでない場合、良いパスワードを簡単に思い出せないため、これは悪い考えです。

少数の人々がパスワードマネージャーを使用しています。そして、たとえそれを使用しても、頻繁にすべてのパスワードを変更することはないと思います。 2、3年に1回使用するサービスがあります。または、アカウントを作成しましたが、二度と使用しない可能性があります。毎月そこに戻ってパスワードを変更しますか?

パスワードマネージャーに50以上のサイトが表示されています。これらのすべてのパスワードを毎月変更するのは、たいへんな作業です。

1
Anders

詐欺から身を守るため

私が他の人がカバーしていないことに気付いた別の考慮事項があります。その1つは、ID詐欺や侵害された会社のなりすましであり、パスワードを変更しても保護されません。

たとえば、詐欺師が漏えいした情報を収集してから、情報を漏えいした会社を装う彼らが入手した情報を使用して説得することは一般的ですあなたは彼らが「合法的に」あなたの情報にアクセスできます。 ISP TalkTalkは、詐欺師がTalkTalkサービスエンジニアのふりをして電話をかけ、盗んだ情報を本物であると「証明」することを反発することがよくあります。

同様に、詳細が盗まれた企業を知ることで、詐欺師があなたに対してどのようなベクトルを使用しようとするかを知ることができます。たとえば、アドビの詳細が盗まれており、詐欺師がアドビにアカウントを持っている人にメールを送る可能性があります。アドビソフトウェアの「緊急アップデート」と思われ、実際に悪意を持ってマルウェアをダウンロードしてインストールします。アドビから情報が漏えいしていることを認識することで、それに対して追加の予防策を講じることができます。

別の方法としては、漏洩した情報が、公開したくない活動に関するものである場合があります。その後、その情報を削除するために適切な手順を実行できます(アカウントの削除や電子メールアドレスの変更など)。

要約すると、定期的にチェックして、他の人(詐欺師、身元詐欺師、脅迫者など)があなたについて知っていることを確認します。

1
SSight3

私はここの傾向に反対し、他の答えには同意しません:
データを安全に処理するには、信頼できないサービスのパスワードを定期的に変更する必要があります。
また、そのようなサイトのパスワードマネージャーを定期的にチェックして、本当にすべてのサイトが必要かどうかを判断することもできます。そうでない場合:サービスプロバイダーにメールを送信し、アカウントとすべての関連データの削除を依頼します。

パスワードの状態を処理するNISTガイドライン:

検証者は記憶された秘密を必要としない読み取り:パスワード 任意に(たとえば、定期的に)変更する。ただし、検証者は、認証者の侵害の証拠が存在する場合に変更を強制するものとします(SHALL)。

コレクション#1 -これが最近のhaveibeenpwned.comとTroy Huntに関する話題の理由です-侵害の証拠の公開の優れた例です。

どうして? 新しい違反ではない だからです。
有名なセキュリティ専門家であるブライアンクレブスは、そこにあるすべてのデータが少なくとも2〜3年前のものであると主張するレポートを公開しました。彼のレポートにはさらに、売り手との信頼できるチャットからの this 写真が含まれています。他のすべての「コレクション」(1から5)と、動作するログイン資格情報でいっぱいであるという主張とともに販売されている他の2つの巨大なデータベースのスクリーンショット。全体として、1つのセラーからのテラバイトの生データ。

では、この文脈での「非公開の出版物」の時代とはどういう意味でしょうか。強力なパスワードがあり、それが適切にハッシュされている場合、パスワードダンプがどれほど長く存在していても、攻撃者がパスワードを解読することはできません。問題は、多くのサイトがパスワードを適切にハッシュしないことです。そして、ここでNISTが再び登場します。 パスワードの変更にガイドラインを適合させたのは、ガイドラインのハッシュパスワードハッシュの保存を扱った部分に関しては意味がないためです。

検証者は、オフラインの攻撃に耐える形式で記憶された秘密を保存する必要があります(SHALL)。記憶された秘密は、適切な一方向鍵導出関数を使用してソルト化およびハッシュ化する必要があります(SHALL)。

それはどういう意味ですか?
結論:

  1. 前提1:サービスがパスワードハッシュを安全に保存している場合、パスワードの任意の有効期限はあまり意味がありません。
  2. 前提2:ハッキングは常に発生し、ほんの一部のみが通知されたり、公開されたりします。
  3. しかし、サービスがパスワードを適切にハッシュしない場合-そして多くのサービスがそれを行わない場合-パスワードの有効期限は理にかなっています。
  4. 資格情報が安全に保存されているサービスを知るにはどうすればよいですか?一部の証明書は、それに関するいくつかの情報を提供します。しかし、外見からは非常に専門的であると思われる企業でさえ、大きな失敗に終わります。中小企業は時々非常にうまく機能します。言うのはとても難しいです。
  5. ハッキングが常に発生する場合、パスワード違反も頻繁に発生します。ハッキングされたパスワードデータベースの一部のみがhaveibeenpwnedで検索可能であることを確認しました。
  6. したがって、信頼できないサイトでは定期的にパスワードを変更してください。繰り返しになりますが、パスワードの再利用や、可能であれば2要素認証または多要素認証を回避するために、パスワードマネージャーを使用する必要があります。
0
Tom K.