「STOP!! パスワード使い回し!!」について考えました。
JPCERT/CCとIPAが「STOP!! パスワード使い回し!!」というキャンペーンを開始しました。
JPCERT/CCが
「STOP!パスワード使い回し!」キャンペーンにご賛同頂ける企業の募集
を出しているところを見るとJPCERT/CC主導のキャンペーンなのでしょうか。
複数のサイトでパスワードの使い回しがあり、その現状に狙いを定めてリスト型攻撃が多く発生し、不正ログインの被害に遭っている方が増えていることを考えるとこのようなキャンペーンを行うことはとてもいいことだと思います。しかし、一方でボクはこのキャンペーンに薄らと違和感を覚えていました。その違和感というのはこの不正ログインを防止する上でどのような対策を誰が行うのかということとこのキャンペーンを照らし合わせたときに不十分に感じたからです。
「不正ログインを防止する」ということをボクは交通安全を実現し人命を救うことに例えることがよくあります。
サービス提供側は車の製造メーカー。ユーザはドライバーです。
エアバッグや衝突被害軽減ブレーキなど安全に配慮した機能を実装するのは車の製造メーカーです。
その車を適正に利用し、危険な運転を行わないようにするのはドライバーです。
この両方が満たされることが交通安全、人命を救うことに繋がると考えています。つまり、どちらか一方が欠けてもいけないということです。この例えからすると、サービス提供側は、強固なパスワードを設定することが可能となる実装するなどといったユーザを最大限に保護する機能を提供し、ユーザは強固なパスワードを設定し、使い回しをしない。ということで「不正ログインを防止する」ということが実現できると考えています。もちろん、それぞれは義務ではありませんので強制することはできず、一定の自由があるとも考えています。いずれにせよ、「不正ログインを防止する」にはサービス提供側とそのユーザそれぞれが努力する必要があると思います。
今回のキャンペーンを見てみるとユーザにしか努力しようがない「パスワードの使い回し」にフォーカスされています。不正ログインに対抗するためには「パスワードの使い回し」だけではなく、推測可能な「弱いパスワード」もSTOPさせる必要があると考えています。今回のキャンペーン対してはいくつかの賛同企業があり、それによって多くの方に「パスワードの使い回し」をやめてもらうための情報発信をすることはとても価値のあることだと思いますが、不正ログインそのものに対抗するためには、その賛同企業にも努力の余地があるのではないだろうか。と考えました。そこで賛同企業の提供サービスの一部ではありますがどのようなユーザを保護する機能を実装しているのかということを調査してみました。調査の結果は以下の通りです。(ボク自身が登録していなかったサービスが多数あったため今回登録して調査をしてみたのですが誤りやお気づきの点があればこっそり教えていただければ幸いです。修正いたします。)
社名 | サービス名 | 長さ | 文字種 | 二要素 | ユーザ名 | [pasw0rd]を設定 |
Gunho | ガンホーID | 8~16 *1 | 半角英数 | 有 | 独自ID | 可 |
Hoikuu | 保育のひろば | WordPre *2 | WordPre *2 | 無 | WordPre *2 | WordPre *2 |
CyberAgent | アメーバID | 6~12 | 半角英数 *3 | 無 | 独自ID | 可 |
dowango | niconico | 6~32 | 半角英数 | 無 | メールアドレス 電話番号 |
可 |
ナナロク | 個人向けなし? | |||||
mixi | mixi | 6~ *4 | 半角英数記号 | 無 | メールアドレス | 不可 |
Yahoo!JAPAN | Yahoo!JAPAN ID | 6~32 | 半角英数記号 | 有 | ユーザID *5 | 不可 |
楽天 | 楽天会員 | 6~ *6 *7 | 半角英数 | 無 | メールアドレス *12 | 可 |
DeNA | DeNA ID | 8~20 | 半角英数記号 | 無 | メールアドレス | 可 |
GMOグループ | GMOとくとくID | 6~16 | 半角英数 | 無 | メールアドレス | 可 |
DMM.com DMM.comラボ |
DMM.com | 4~16 | 半角英数 | 無 | メールアドレス 独自ID どちらも可 |
可 |
セブン&アイ・ネットメディア | セブンネット | 6~12 | 半角英数記号 | 無 | メールアドレス 独自ID *8 |
可 |
グリー | GREE | 6~20 | 半角英数記号 | 有 | メールアドレス | 可 |
ジャックス | インターコム クラブ |
6~8 | 半角英数 | 非会員の為 確認できず 検索した限り「無」? |
独自ID | 非会員の為 確認できず |
ソースネクスト | マイページ | 6~16 | 半角英数記号 | 無 | メールアドレス 自動で割振 12桁の独自ID どちらも可 |
可 |
ネット・コミュニケーションズ | フレーバー ネット |
4~10 | 半角英数 | 無 | メールアドレス | 可 |
ビッグローブ | マイページ | 8~16 | 半角英数記号 (一部使えない記号有) |
無 | メールアドレス 独自ID (自動割振) どちらでも可 |
不可 |
ポケットカード | 会員専用 ネットサービス |
5~10 *9 | 半角英数 及び「-」「_」 *10 |
非会員の為 確認できず 検索した限り「無」? *11 |
独自ID(自動割振) | 非会員の為 確認できず |
リクルートホールディングス | リクルートID | 6~20 | 半角英数記号 | 無 | メールアドレス | 可 |
*1 同じ文字が4文字以上連続、数字のみ、英字のみ不可
*2 WordPre利用と考えられるため不明
*3 数字のみIDに含まれる文字列は使用不可
*4 33文字でも設定できた
*5 シークレットID利用可
*6 33文字でも設定できた
*7 ユーザIDと同一は不可
*8 独自IDを登録した場合、独自IDでのみログイン可能
*9 少なくともアルファベット1文字以上を含ませる必要あり
*10 大文字小文字の区別なし
*11 ログイン時にはCAPTCHA有
*12 任意の独自IDに変更可能
記号が使えないサービスや設定できる文字数が長くないもの、辞書攻撃に耐性が弱そうなパスワードを設定可能なサービスが見受けられます。だから、ダメだとはならないと思うのですが、今回の「STOP!! パスワード使い回し!!」を継続しつつ。今後は「STOP!! 弱いパスワード!!」キャンペーンといったサービス提供側とそのユーザが一丸となって不正ログインに立ち向かうようなキャンペーンが実施されればいいな。と思いました。
度々、穴となる「秘密の質問」もSTOPしてくれると嬉しいですね。
2015年08月24日
楽天で利用できるユーザ名について注釈を追記しました。
2015年08月23日
「DMM.com、 DMM.comラボ」「セブン&アイ・ネットメディア」
「グリー」「ジャックス」「ソースネクスト」
「ネット・コミュニケーションズ」「ビッグローブ」
「ポケットカード」「リクルートホールディングス」
のサービスについて追記しました。