web-dev-qa-db-ja.com

公開されたパスワードについてユーザーに警告するためにHaveIBeenPwned APIを使用してはならない理由はありますか?

HaveIBeenPwned password checker については多くの話題があります。これは、パスワードが既知のパスワードのデータダンプの1つに含まれているかどうかをユーザーに安全に知らせることができます。

このツールには 公開API が背後にあり、どのWebサイト/アプリ/ etcを使用して、ユーザーがパスワードを確認することもできますが、私が見ることができるものから リストされているすべてのアプリケーション は特に電子メール/パスワードチェッカーツールです。

アカウントの作成中にユーザーがWebサイトにパスワードを入力するのを見たり聞いたりしたことがなく、よく知られているデータ侵害で選択したパスワードが見つかることを示すエラーメッセージが表示されます。

Webサイトを作成する場合、追加の安全対策として、ユーザーのパスワードをHaveIBeenPwnedのツールに対して自動的にチェックし、サイトが知らないパスワードを選択するようにユーザーに要求することは悪い考えでしょうか?

passwordshave-i-been-pwned
62
Toby Smith

NISTからの最新の推奨事項(SP 800-63bセクション5.1.1.2; こちら または 概要はこちら を参照)は、既知の侵害されたパスワードのリストに対してユーザーパスワードをチェックすることを実際に推奨しているため、それを行うことは、実際には現在のベストプラクティスと一致しています。また、特定の「ルール」を満たすためにパスワードを要求するよりもはるかに優れています(NISTは現在これを推奨していません)。 HIBPは、実際にこれを行う1つの方法(そしておそらく最も簡単な方法)です。パスワードのハッシュの最初の5文字を​​送信するだけでよいので、ユーザーに対する実際のリスクは事実上ゼロです。ですから、ご希望であればお気軽にどうぞ。

特定の組織がこれを行わない理由については、サイトごとに大幅に異なると確信していますが、通常の容疑者に要約すると安全策だと思います。

  1. セキュリティは、多くの人がけちるのが好きな分野であり、そのようなシステムの実装には追加の努力が必要です。
  2. 新しいベストプラクティスが教育機関の共通知識になるには時間がかかります
  3. 機関がベストプラクティスに追いつくにはさらに時間がかかります
  4. 開発されたすべての機能にはコストがあります。開発と保守にかかるエンジニアリング時間の観点からの金銭、ルールを理解していない、またはルールに従おうとしないユーザーの喪失( h/t @Woohoojin )など。組織は、追加された利点はコストに見合うものであると考えてください。

公平を期すために、私のシステムはまだこれを行っていないので、私を#3または#4に追加できます。

項目#4はもう少し言及する価値があります。これを実装するコストは明らかです。開発者が機能を構築して維持するには時間がかかります。メリットを数値化するのははるかに困難です。もちろん、セキュリティの問題に関しては、多くの企業が利益がゼロであると誤解しているため、セキュリティが不足しています(ポイント1を参照)。ただし、これは利点が小さい可能性が高い機能の1つです。多くの場合、ユーザーアカウントの侵害(顧客サポートの増加、トランザクションのロールバックなど)に関連するビジネスには実際のコストがかかりますが、侵害がユーザー自身のミスによるものである限り(この場合は、侵害されたパスワードを選択した場合)、企業は直接的な責任を負う可能性は低いため、おそらくより大きなコストを回避できます。その結果、このような機能は、すべての企業が実装する価値があるとは限りません。潜在的なコストと利益を比較検討するのは、常に各企業次第です。

73
Conor Mancone

そうするためのコストは重要ではないので:

  • hIBPのしくみを理解していない人は、パスワードを適切に処理していないと想定し( )、不満や見当違いの批判に対処する必要があります。
  • hIBP APIが変更された場合、またはサービスがシャットダウンした場合、定期的にコードを更新する必要があり、新しいサービスに移行する必要があります。
  • hIBPの速度低下またはダウンタイムは、自分のサイトが速度低下することを意味します。特に、新しい違反に対して既存のパスワードをチェックし続けたい場合。

後で、このような機能は、セキュリティを真剣に考えていると主張するWebサイトから期待される可能性があります。上で概説したコストは、安全なWebサイトのように見えるという利点よりも重要なので、誰もがそれを実装します。

はい、あります ある すでにHIBPチェックを実装している企業。

14
Dmitry Grigoryev

国のタグを付けていません。これは、できること、できないことに影響を与える可能性があります。あなたはイギリス出身のようですが、以下の点に関しては明らかにリラックスした方法があります。
また、あなたはログイン時にチェックをしたいようです-それは以下の私のコメントをあまり役に立たなくするでしょう。

フランスやドイツを例にとると、ユーザーの行動を追跡するソリューションの提示には、さらに注意が必要です。あなたは世界で最高の意図を持つことができます、感謝しない人もいます。

具体的には、ユーザーに対してリークをチェックしている場合はプロフェッショナルメールで問題ありません(私はあなたがその会社の情報セキュリティで働いていると想定しています)。あなたはあなたの会社の利益を保護する義務があります。そのため、プロのメール(そしておそらく関連するパスワード)が悪用されている場合、あなたは環境に優しいです。

このチェックを専門家以外の活動にも拡張するように注意してください。個人の電子メールをHIBPでチェックするように人々に提案することもできますが、それだけです。

YMMV-これは、法律、プライバシー、労働法の専門家との膨大な数の議論の後に私が取った合意に基づく立場です。誰もがそれぞれのテーマについて自分の意見を持っていたので、私は軽く踏み込んでいます。

4
WoJ