- 締切済み
長くパスワード変更していないと危険な理由は?
partsの回答
- parts
- ベストアンサー率62% (6364/10149)
数年前には、一般に情報が漏れるのはサーバーより、その中で使う人が原因になることが多いと言われましたけど。年々、クラッキングの技術は進化していますから・・・、その発想は既に古いと思った方が良いですよ。 確かに、認証先が信頼できるものなら、絶対に大丈夫です。ただ、果たして金融機関なら認証はばっちりですか?そもそも、SSLやTLSは安全ですか?もっといえば、その通信している相手サーバーは、脆弱性のない完璧な認証サーバーでしょうか? たとえば、AESなどで暗号化されているキーのハッシュラウンドをちょっとずつ解読できるような、システムが仮にあったとします。100回サーバに同じ人の認証キーが届けば解読できると仮定しましょう。そうなると、パスワードが複雑だから解読できないという理由にはならないという意味になります。 一般に、ソーシャルネットワークなどにおけるクラッキングに限らず、情報漏洩のリスクはいくつかあります。その一つは、サーバーシステムにおける認証の脆弱性による情報の漏洩です。Heartbleedというのはご存じですか、今年になって何度か話題になっているOpen SSLにおける脆弱性です。 日本の金融機関はUFJニコスなど一部でこの脆弱性による漏洩が起きましたが・・・世界では数十万台というWebサーバーの安全なはずの認証が、筒抜けになる大問題となりました。 しかも、その問題は解決したとされた後、6月にもHertBleedに関する新たな脆弱性のHotfixが供給される事態になりました。 http://japan.zdnet.com/security/analysis/35049035/ iPhoneとMacOSではSSL暗号化された情報のすべてが、漏れる危険がある脆弱性が今年になって修正されています。 http://www.atmarkit.co.jp/ait/articles/1402/26/news137.html これが、いわゆる安全と呼ばれる認証方式(SSLやTLS)の現実です。 どうしてこういう事態が起きるのかというと、これまでは鍵を出入りする人から奪って対応していたのですが、鍵穴にちょっと細工をすると、鍵のコピーが取れる。または鍵を挿した相手が分かるような仕組みを悪い人間が見つけるとどうなるでしょうか?というのが、この解です。現実でも決してできないことではないでしょう。しかし、システムだとそこは完璧だと思っているはずです。ただ、それは現実と同じで、認証する側される側のどちらかに何らかのバックドアがあれば、情報は漏れる恐れがあるのです。 もしも、パスワードが漏れたら、すぐにそれを悪用される可能性もありますが、大量に漏れていれば、自分のパスワードが使われるリスクはすぐすぐはありません。ただし、ずっと同じパスワードを使い続けていると、攻撃者によるターゲットになる恐れがあります。 だから、念のために定期的な変更を業者は求めます。定期的な変更をしていても、何か問題が起きるなら、どこに原因があるかもある程度分かりますし、業者もそこを理由に、保障しないということもありません。逆に、絶対に大丈夫だからという場合は、業者は変更を求めているにもかかわらず、変えなかったことも指摘できることになります。 そうなると利用者の損失が発生しても業者側が変更を再三求めていたにもかかわらず変えなかったという理由から免責の対象となる恐れも場合によってはあるかもしれません。 このあたりはお気をつけください。 技術の発展によって、セキュリティは一定の水準に達しましたが、セキュリティを破る技術も同様に一定の水準でいたちごっこをしています。一般にリスクというのは、高くならない(安全だと思う)気持ちが強くなるほど、そこに攻め込む余地があることを示します。だから、定期的に変更をするのが望ましいという話になります。 特に、セキュリティに関する脆弱性情報がOSやブラウザソフトなどで大々的に発表されてから、数ヶ月の間は、自分が使っているか否かにかかわらず、サービス業者は全体に周知することがあります。これは、利用者がどういう環境で使っているかがわかりませんし、利用者自身もそういう危険情報を知らないことが多いですから、定期的に通知をするのです。そして、通知を受けた場合は、何らかのリスクが、同一業者の別のユーザーにおいて起きたと考えられます。(それがユーザー要因か、業者要因かは分かりません) そのため、それが本当にサービス事業者からの確実な連絡であったなら、それに従うのが妥当です。
関連するQ&A
- パスワード変更について
皆様にお尋ねします、メールやネットバンキング等、ログインする際 様々なパスワードが必要ですが、皆様はどの程度の間隔でパスワードを 変更されていますか、 頻繁なパスワード変更は危険との考えもありそうですが ※OKWAVEより補足:「ESETセキュリティ ソフトウェア シリーズ」についての質問です。
- 締切済み
- ウィルス・マルウェア
- パスワードを盗まれる?
初心者です。 どのサイトでもそうですが、 銀行など重要なパスワードもあります。 サイトによってはパスワードの変更を求められますが、 ネットで使用していて、パスワードを盗まれる事がありますか? それは、外部の一般人に限らずサイト運営管理者の場合もありますか? カテ違いなら別のカテを教えて下さい。 お願いします。
- 締切済み
- スパイウェア
- パスワードの変更は意味あるの?
銀行に限らずNET取引のログイン時に頻繁に「パスワードの変更」を推奨されますが、変更することにどの位意味があるのでしょうか? 盗むことを狙っている方は手当たり次第に組合せを当ててくると思っているので、変更してもしなくても当てられる確率はあまり変わらないように思えるのですが。 キー操作を盗まれた場合は変更に無関係ずですし、長期間にわたって狙われ続けた場合は、変更することで逃げられる可能性も有りますが、逆に当りに行く結果になる可能性も確率的にあるような気がします。
- ベストアンサー
- ネットワーク
- 教えてgooをクラック!
例え話なんですが、ケビンミトニックのような凄腕クラッカーだったら教えてgoo をクラックするなんて朝飯前ですか? ソーシャルハッキング抜きで考えた場合です。
- 締切済み
- その他(インターネット・Webサービス)
- オンラインのパスワードクラック
私が以前制作していたHPがあります。 消そうと思うのですが、パスワードを忘れてしまい、レンタルサーバーに登録してあったメルアドも変更してしまいました・・。 そこでネット上で使用できるパスワードクラックはありますでしょうか・・・。
- 締切済み
- ネットワーク
- ID,パスワードの省略
セキュウリティは別としてインターネットのさまざまな場面においてID,パスワードの入力が求められる場合が多いですが、ネットバンクを除きこれらを省略することはできないでしょうか?
- ベストアンサー
- その他(インターネット・Webサービス)
- トークンという使い捨てパスワード
自分の取引銀行が使い捨てパスワード・・トークン・・というサービスを始めたので自分も申し込みました いま届いたので使用登録を済ませましたが トークンに現れるパスワードをパソコン端末に打ち込むとログオンできますが ログオンしている銀行のシステムでは なぜトークンのパスワードがわかるのでしょうか 銀行からトークンに電波を飛ばして表示させているのでしょうか Yahoo!ネットバンキングに出ているものと同じようなものがきています http://help.yahoo.co.jp/help/jp/bank/bank-13.html
- ベストアンサー
- 銀行・ネットバンキング
- パスワードの変更UIに関して
ご教授願います。 ユーザーIDとパスワードを入力して、 ログインできるようなシステムで、 ログイン後に、パスワード変更するようなUIがある場合、 パスワード入力フォーム画面→確認画面→完了画面 としたいのですが、確認画面でパスワードを表示するのは、 危険なことがあるのでしょうか?
- 締切済み
- HTML
- かんたん決済の受取口座を変更できない
すでにカスタマーにもメールしましたが、 かんたん決済の受取口座を変更(JNB→UFJに変更)しようとしても、 「この口座は、すでに別のYahoo! JAPAN IDのかんたん決済受取口座として登録されています。 ほかの口座をご入力ください。」 と出て、JNBからUFJ銀行に変更ができません。 また、他のヤフーIDで銀行取引などはしていません。 http://okwave.jp/qa/q6573676.html こっちに、 >かんたん決済は、ネットバンクかクレジットカードの登録が必要です。 >ネットバンクは楽天銀行に限らず、ジャパンネット銀行や、 >りそな銀行、みずほ銀行、ゆうちょ銀行でも可能です。 とあり、かんたん決済は、ネットバンクでないと、受取口座にしていできないのでしょうか?・・・。
- ベストアンサー
- オークション