シュナイアーから、銀行のセキュリティパスワードを書いて財布に保管しておくように言われました。そうですか?
Bruce Schneierがパスワードを書き留めます。だからできますか
...
しかし、現実世界で、またはオンラインで、これらすべてをどのように扱うべきでしょうか? 「リラックス」と彼は強調して言った。驚いたことに、セキュリティの専門家にとって、彼はパスワードについて非常に簡単な見解を持っています。
「オンラインバンキングなど、重要なことのために非常に安全なパスワードをいくつか持っています」と彼は言う。 「しかし、私は関係のないあらゆる種類のサイトに同じパスワードを使用します。人々は同じパスワードを使用するべきではないと言っています。それは間違っています。
そして、人々が言うときあなたのパスワードを書き留めないでください。ナンセンス。それを小さな紙に書き留め、あなたが大切にする他のすべての小さな紙片と一緒に、それを財布に入れておいてください。」
彼は財布を開き、£20の紙幣を引き出します。 「これには価値があります。あなたのパスワードには価値があります。社会として、私たちは小さな紙を評価するのが得意です。私たちはその問題を解き明かしました。」
https://www.schneier.com/news/archives/2010/11/bruce_schneier_write.html
これがどこから来たのか理解しています。実際には難しいセキュリティ「アドバイス」を見つけるのは非常に簡単です(「誰もがWindowsの使用をやめるべきです」:-P)。したがって、少し批判的な思考を行う必要があります。そうしないと、実際には正しい優先順位で作業していないため、より重要なセキュリティ対策をスキップすることになります。または、トレードオフに過度のコストがかかります-パスワードを忘れたことによる可用性の損失を含む可能性があります。
問題は私がとても文字通りだということです。複数のオンライン銀行口座のパスワードを安全に記憶する方法について批判的に考えています。リンクされた記事の文字通りの解釈は次のとおりです。
- オンラインバンキングのセキュリティパスワードを紙に書き、デビットカードと一緒に財布に入れます。
私の批判的思考はこれを非常に疑っています。
- 現在のアカウントでは、デビットカード番号を使用してオンラインでログインできます。
- 私は財布をなくすことが知られています。または2つ。
私の現在のアカウントのT&Cは、「お支払いの詳細を安全に保つための合理的な措置を講じなかった」場合、詐欺の責任を負うと述べています。私は、有名なセキュリティ専門家のWebページからのアドバイスに従っていただけだという主張に同情しないのではないかと思います:-)。
奇妙な比較のように感じます。財布の予想される内容は確かに貴重です。しかし、カードの盗難についてはそれほど心配していません。これは、短いPINで保護されているためです。そして、通常、銀行口座に保持されている金額と比較して、限られた金額の現金しか持ちません。
そう。上記のすべての弱点はどこですか?
- 評判の高いセキュリティの専門家がこれをおよびと述べ、それ以上コメントせずに自分のWebサイトに再投稿して確認したのはなぜですか?
- 私の解釈でリテラルレベルのエラーを犯しましたか?
- 文字通りの解釈は実際に悪い考えではありませんか、そうであればなぜですか?
- 私自身の状況について特に変わったことはありますか?
- Schneier.comの[ニュース]タブ([ブログ]タブとは異なる)は、サイトの他の部分と同じように信頼できないと考えるべきですか?つまりこれは、悪いアイディアの影響について投稿をレビューせずに、彼を支持するニュース記事をシュナイアーが再投稿することでしょうか?
悪いアドバイスだと思います。 using the same password on multiple sitesとstoring a password on a piece of paper in your walletに関する元の質問の2つのセクションに分けて回答を説明します。
パスワードを紙(および財布)に保存することについての考え
現在のところ、紙にパスワードを書き留めるなど、他の方法よりも優れた優れたパスワードマネージャが複数あります。 Troy Huntは実際にこの件に関して非常に優れたブログ投稿を作成しました 。一般に、いくつかのリスクが伴うため、パスワードを書き留めておくことは、セキュリティ上の悪い習慣と見なされています。
- パスワードが記載された用紙は紛失する可能性があります。つまり、そのパスワードにアクセスできなくなるだけでなく、紛失した場所によっては他の誰かがパスワードを使用できる可能性があります。
- shoulder surfing のように、誰かが紙を盗んだとき、またはパスワードを確認できるときに、誰かがパスワードを使用できる可能性があります。
クレジットカードまたは銀行カードのパスワードと銀行口座の詳細の両方で財布を紛失した人(質問でわかるようにあなたを含む)を考慮すると、これはあなたの財務および個人データ全般に対する重大なリスクだと思います。財布はお金を確保するために作られていません、それはストレージとして意図されています。同じ原則を使用してパスワードを保護する必要があります。
複数のサイトで同じパスワードを使用することについての考え
資格情報の詰め込み のため、複数のサイトで同じパスワードを使用することは、優れたセキュリティ対策とは見なされていません。サイトがあなたにとって重要ではない場合でも、ウェブサイトがあなたについて持っているデータは他の人にとって興味深いかもしれません。個人データを組み合わせることは、あなたに危害を加えたい人にとっても非常に強力です。
Bruce Schneierが彼の銀行口座に複数のサイトで使用しているのと同じパスワードを使用しているという意味ではないと思います。ただし、上記は「重要でないWebサイト」にも当てはまると思います。また、Bruce Schneierはセキュリティの専門家であり、特定のサービスにおける潜在的なリスクを十分に認識していることも考慮する必要があります。たとえば、多くのWebサイトのForgot your password機能により、ほとんどの場合、他の多くのWebサイトにアクセスできます。
パスワードを紙に保存する場合も同様です。ブルースシュナイアーはセキュリティの専門家であり、潜在的な損害を認識しており、十分に情報に基づいた選択を行うことができるため、特定のリスクを負う可能性があります。紙にパスワードを書き留めることは、紙を財布に入れたまま、ほとんどの人にとって悪いセキュリティ慣行と見なされるべきです。
そのため、Bruce Schneierへのアドバイスに同意せず、すべての質問に答えることにも同意しません。
上記のすべての弱点はどこですか?
私はここで上記の詳細でこれに答えました。同じパスワードを使用するため、紙にパスワードを保存することはどちらも弱点と見なされるべきです。
評判の高いセキュリティ専門家がこれを述べ、それ以上コメントせずに自分のWebサイトに再投稿して確認したのはなぜですか?
誰もが同じ意見を持っているわけではないため、パスワードに関しては明らかに彼の考えが異なります。私たち全員がこの質問について議論している限り、それは大丈夫です:今日の良いセキュリティ慣行と考えるべきこと。
私の解釈でリテラルレベルのエラーを犯しましたか?
私はあなたが持っているとは思わない。
文字通りの解釈は実際に悪い考えではありませんか、そうであればなぜですか?
パスワードマネージャーの場合と同様に、紙にパスワードを書き留めることをお勧めします(ただし完全ではありません)。紙に保存しないことをお勧めします。たとえば、代替手段が銀行口座を含むすべてのサービスで弱いパスワードを使用している場合、紙に安全な別のパスワードを書き、それを財布に保存することは実際には良い考えかもしれません。ただし、パスワードマネージャーを使用するとさらに良いでしょう。
私自身の状況について特に変わったことはありますか?
いいえ、私はいつも財布を紛失しています。特にセキュリティについては、批判的な思想家であることは良い習慣です。
Schneier.comの[ニュース]タブ([ブログ]タブとは異なる)は、サイトの他の部分と同じように信頼できないと考えるべきですか?つまりこれは、悪いアイディアの影響について投稿をレビューせずに、彼を支持するニュース記事をシュナイアーが再投稿することでしょうか?
私はあなたが必ずしもそうすべきではないと思いますが、もちろんそれはあなた次第です。ブルース・シュナイアーも良いアドバイスをしていて、彼はまだよく知られていて、広く尊敬されています。このようなWebサイトへの再投稿は、他のソースよりも信頼できるはずですが、常に、今と同じように、記事が信頼できるかどうかを批評します。だから、はい、これは影響を検討せずに再投稿であった可能性がありますが、これはあなたの仕事だけではないと思います。再投稿者、この場合はブルース・シュナイアーの仕事です。
議論は、注目すべきいくつかのポイントを示唆しています。
私が言うように、記事は批判的思考を提唱しています。少なくとも1人の他のユーザーも、物理的なパスワードウォレットの使用に関するアドバイスが本当にオンラインバンキングに適用することを意図していたかどうかについて、二重の判断をしました:-)。この特定のタイプのリスクについては、1つ高いレベルのセキュリティを確保する方が適切な場合があります。
私に当てはまる緩和策を1つ考えることができます。 新しい受取人に送金する前に、銀行はデビットカードの所有権を証明し、スタンドアロンを使用してそのPINを知っていることを要求しますカードリーダー、そして私はテキストメッセージアラートを受け取ります。このカードリーダーはもともとオンラインバンキングの一部ではありませんでしたが、今では英国で普及していると思います。 「チップアンドPIN」システムへの攻撃についてはさまざまな話がありますが、システムは全体としては妥当な仕事をしていると思います。 [〜#〜] gsm [〜#〜] のように、これは常に壊れていると考えられるレガシーシステムではないと私は信じています。このセキュリティ機能があることを非常に嬉しく思いますが、これほど信頼すべき信頼できるアドバイスはありません。
提起された主なポイントは、ほとんどの人にとって財布を失うことは比較的まれであるということです。
考えられる説明としてそれを見て少し驚いた。財布の紛失は私には比較的束縛されていると感じます-それは非常に不便かもしれませんが、それを処理するシステムがあります。しかし、オンラインの銀行ログインとパスワードが含まれている場合、紛失の可能性は数桁高くなる可能性があります。ここでの同等性が理にかなっているかどうかはわかりません。
第二に、盗難や強盗が発生します(そして、その統計を見ることができます-偶然の損失よりも確率が高くなると私が規定すると幸いです)。私の理解では、ここでの「解決された問題」の一部は、過剰な金額の現金を持ち運ばないことや、高価な携帯電話の盗難防止対策などです。
最後に、一部の人は、物理的な財布には、ログインするために必要な正確なユーザー名とサイト名の両方が含まれていると考えて驚いています。 。おそらく、この機能は2010年にはあまり一般的ではありませんでした(または今でも一般的ではありませんか?)。
パスワードを財布の中の紙に書き留めておきますか?.
たいしたことではないでしょう。ハードコピーのパスワードストレージでは、アクセスが主要な問題です。ですから、それがあなたの財布の中にあれば、おそらくあなたの前にいるか、常に安全な場所にあるでしょう。もしそうなら、誰かがあなたのパスワードを盗むことのセキュリティリスクは誰かがあなたのパスワードを攻撃することとかなり同等なので、私はそれは大丈夫だと思います。それは奇妙なことのように聞こえるかもしれませんが、誰かがクラウドコンピューティングでパスワードの60kの代わりに20ドルの野球用バットで膝蓋骨を壊すことができるのは古くから知られているセキュリティの格言です。
ウォレットではなく紙にパスワードを保存することは悪い考えです。それが金庫にあれば、素晴らしい。それが仕事でキーボードの下側にある場合、非常に悪いです。古いSec Proの秘訣は、5分以内にオフィスのパスワードを取得し、キーボードをめくることができることに賭けることです。ほとんど常に動作します。したがって、ハードコピーされたパスワードには常識を使用してください。
追加ボーナスアイテム:
「オンラインバンキングなど、重要なことのために非常に安全なパスワードをいくつか持っています」と彼は言う。 「しかし、関係のないあらゆる種類のサイトに同じパスワードを使用します。同じパスワードを使用してはいけないと言われています。それは間違っています。」
編集:言い回しは混乱しています。これは、上記が重要ではないあらゆる種類のサイトと同じように銀行に同じパスワードを使用することを意味する場合です。彼が言っている場合、彼はバンキングに1つのパスワードを使用し、別の意味のないサイトには別のパスワードを使用するため、以下を無視できます。混乱を明確にするために立ち去ります。
これは絶対に間違ったアドバイスです。これがどこから来たのか推測するのに十分なほど、この人物については知りませんが、「荒野」で働いているSec Proとして、これは間違っていることを確認できます。攻撃の主な形態の1つは、侵害されたWebサイトから盗まれた信用情報を取得し、他の複数のWebサイト(銀行など)でそれらを試すことです。このアドバイスを受けないでください。持っているすべての「重要な」アカウントに個別のパスワードを使用してください。クレジットカードやその他の機密データを持たないアカウントの信用情報を共有したい場合は、銀行全体で同じパスワードを使用しないでください。これにより「ハッキング」される理由は何年にもわたります。