高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)
2019/07/09 06:59
yutaka_maruoka
システムはセキュリティの安心感を打ち出すかが民意を得る肝な時代になったのかもしれない。特に昨今、一部でホットな情報銀行系の話はなおさら。
2019/07/09 07:37
gimonfu_usr
( "序章" )
2019/07/09 07:54
tkawa
個別のパスワードをなくす方向に進んでほしい
2019/07/09 08:00
zakkie
サービスを使う側だけど日頃の不便と技術的な背景が分かった。7Pay がこれを理解するのは難しいだろう。だから競争力のないシステムなのだ。
2019/07/09 08:13
numpad0
こーれーなー。iOSもAndroidも今はパスワードマネージャが統合されたから後は生成と引き継ぎだな
2019/07/09 08:17
mahal
固定パスワードがある種のハンドルネーム的だった感覚、わかるw。あとは、この時代から変わった辺りとして、パスワード管理アプリとかが結構増えて来た感が(アレはアレで、マスターパスワードは残るのだけど)
2019/07/09 08:17
endo_5501
googleのパスワード管理機能で自然とこれに近い運用になっている。現在の懸念は、googleからアカウントのバンされる可能性があること...
2019/07/09 08:21
naopr
今後、パスワードによる認証はどんどんなくなっていくんだろうなー
2019/07/09 08:26
mon_sat
パスワード管理ソフトとChromeとiCloudキーチェーンの3つ管理がされてる状態。パスワードはもう無理。とはいえデバイスのロックを指紋にするのは便利だけどハックされたら終わりだしなあ。
2019/07/09 08:31
napsucks
深い
2019/07/09 08:41
packirara
早くパスワードレスの世の中が来て欲しい。
2019/07/09 08:47
Listlessness
一番分かりやすい OpenID Connect の説明qiita.com を合わせて読んでおくとトークン云々はわかりやすくなるかな。あとはリスクベース認証とかあるけど…
2019/07/09 08:48
worris
ただ端末を買い換えた時に、引き継ぎを忘れて古い端末を廃棄してしまうケースがあるので、ID(メールアドレス)+パスワードが必要なんだろう。
2019/07/09 08:48
quality1
パスワードマネージャー便利だなーと思ってるとアプリで死んだり、複数パスワードで死ぬ。最近は対応してくれることもあるけど。。
2019/07/09 08:49
Dy66
1Passwordがその役割を終えた時に達成できると言える。Sign In with Appleはこの未来を見据えての方針なのだろうか。
2019/07/09 08:55
hirokichin
確かにパスワードはもはや不要な段階に来てると思う。真面目にサイトごとにパスワード変えると覚えきれないから、ブラウザの記憶だよりになってしまう。
2019/07/09 08:57
JORG
RFC6238がもっと活用されるのかなと思いつつどうもイマイチ。便利なんだけどなあ。自分はIIJのやつ使ってます
2019/07/09 08:58
kantei3
「ただ、話はそう簡単ではありません。スマホの端末を買い換えたときに、トークンの引き継ぎをどうするかという問題が残ります。」、おじいちゃんおばあちゃんのパスワードをPCデポが組織的にゲットするのが見える。
2019/07/09 09:15
s-tonouchi
本当にセキュリティを気にするならチャレンジ&レスポンスとかクライアントもサービスを認証できるようにするとかその辺なんだろうなぁ
2019/07/09 09:17
mollifier
スマホ向けのゲームアプリはだいたいこうなっている
2019/07/09 09:19
junjun777
あるべき論。個人的にはもうじきにそうなると思っている。計算機リソースが安くなった現代に人間の脳で覚えるパスワードは無理。
2019/07/09 09:22
xlc
そもそもパスワードってのは同じ端末を複数人で利用する前提でログアウトとペアになってる設計。専用の端末を持てるなら不要。
2019/07/09 09:25
tettekete37564
永続的な「アクセストークン」方式は盗まれた時やセッション固定化攻撃のような使われ方した場合悩ましい。スマホだったら個体IDを秘密鍵とかソルトにしてハンドシェイク的な手続きをもう一つ行うとか?
2019/07/09 09:28
uunfo
「端末用の認証」はWindows 10でPINと呼んでるやつか。全体としてそういう方向に進んではいるようだ。/ランダム文字列をパスワードにしたときのパソコン・スマホ間の連携めんどいよな。あと自動生成だと記号が弾かれた
2019/07/09 09:40
kyousuke104
いつもにもまして簡易な言葉遣いなのは、より多くの人に読んでもらうためなのかな?/全文、NISCからの転載だったからか
2019/07/09 09:59
raimon49
序章って何だろうと読み始めたら本当に序章だった。壮大だ。
2019/07/09 10:12
serio
今のスマホは多要素認証を備えているので、個別のサイトの認証は不要というのは確かに説得力がある。スマホの認証をちゃんと設定していれば、盗まれても突破されないし。
2019/07/09 10:17
houyhnhm
端末がそこまでセキュアかどうか。あと、端末紛失とかが意外と発生する。ヘルプデスクのサポートやってるけど地獄。
2019/07/09 10:22
aoba_lain
これZeitがやってるやつと同じ話だと理解したのだけれど
2019/07/09 10:22
otihateten3510
え、AndroidもiOSも自動入力あるよ? よくわかんないな。対応してないアプリは単に諸事情です/OS・IFをまたぐためにIDがあるんじゃないのむしろ。そこを完全に消すのは無理だと思うけど。擬似的には既にできてるし。
2019/07/09 10:27
iww
SSHの秘密鍵もあちこち使いまわしは良くないのかな。
2019/07/09 10:29
deep_one
最終的には「マイノリティーレポートでの広告システム」になる気がする。
2019/07/09 10:31
hevohevo
1年に1回しか使わないサイトのパスワードはたいてい忘れているので、パスワード忘れ→メール→再設定をしている。もうこのサイト、メール受け取ったらログインでいいよなって思うことある。
2019/07/09 10:35
khtokage
端末(have)+パターン認証(know)+指紋認証(are)なら全要素使ってるし、これにURLなり加えて64byte程度のHash生成して認証情報にしてくれればいいのに、とはよく思う。(これで完璧に全ての攻撃を遮断出来るかは未検証です
2019/07/09 10:38
natu3kan
ソシャゲみたいに別端末への引継ぎコードだけIDとパスワード使う流れになるのかもなあ。
2019/07/09 10:39
k-holy
ログインのたびにワンタイムパスワードを発行する仕様にしたことがある。再設定専用のパスワードは「初期パスワード」って概念で実装されるケースも。これをサーバには平文で保存せず、紙の台帳で管理すれば安全?
2019/07/09 10:42
himakao
最近のスマホゲーによくあるんだが、アプリが勝手にIDを作ってて外部利用や引き継ぎ用にはOAuth使う方法が凄く便利だなと感じてる
2019/07/09 10:49
toubanjanny
7payの作りがダメだという話はおいといて、そもそもパスワードってどうなんよという話。4年前に既に書いてるの、さすが先生という感じがする。
2019/07/09 10:52
lifeisadog
割と近いうちにパスワードではなくスマホ所持が前提の生体認証になると思ってる
2019/07/09 11:02
fujihiro0
Slack の magic sign-in link のようにメールアドレスに URL を送って認証する方式でいいと思うが、世の中的には WebAuthn で将来統一する方向だろうか。
2019/07/09 11:04
te2u
色々割り切ることができれば、パスワードを不要にできそうだけどなあ。
2019/07/09 11:10
azumi_s
iOS系やChromeなども自動発行したものをブラウザ側で管理する仕組みは導入されてきているが、現状だとまだまだ、ふいに手入力を求められて困ることも多いんだよなぁ。
2019/07/09 11:11
REV
グーグルクロームさんが、「パスワードを自動生成してブラウザで保存してやる。これで弱いパスワードとはおさらばさ。トラスト・ミー」っていうのでやらせてみたら、3分後には再ログイン不能になってた…
2019/07/09 11:14
shoh8
なろう感のあるタイトル
2019/07/09 11:14
twatw
今は利便性重視してEnpassをDropboxで同期してる
2019/07/09 11:17
atahara
"将来、人が覚えて使うパスワードというものは、端末上の認証(ローカル認証)に限って使うものとなり、サイトのログイン認証(リモート認証)には使わないのが現実となるだろうということです。"
2019/07/09 11:24
kettkett
もう鍵つけさしてくれよ
2019/07/09 11:24
hASOsUI5
スマホしか持ってない世代の人たちがその唯一の端末を紛失したら、数多のパスワードを記憶しているAppleIDやGoogleアカウントにどうやってログインするんだろう
2019/07/09 11:33
kenchan3
スマホ変更はほんときつい。というか今きつい。銀行のワンタイムパスワードが端末に紐付いてて結構変えるのが面倒なんだよな。まあしょうがないんだけど。はあ。
2019/07/09 11:45
tetsuya_m
なるほどそうですね、個人に紐付けられて盗まれたら遠隔データ消去機能が付いてる端末だから従来のログインパスワード自体が無意味になってる
2019/07/09 11:55
n314
iPhoneでもログインが必要なときはChromにしてる。
2019/07/09 12:04
rindenlab
"将来、人が覚えて使うパスワードというものは、端末上の認証(ローカル認証)に限って使うものとなり、サイトのログイン認証(リモート認証)には使わないのが現実となるだろう"
2019/07/09 12:09
kazyee
"将来、人が覚えて使うパスワードというものは、端末上の認証(ローカル認証)に限って使うものとなり、サイトのログイン認証(リモート認証)には使わないのが現実となるだろう"
2019/07/09 12:22
ku__ra__ge
ログイントークンをcookie保存+ユーザメールアドレスへログイントークン再発行URLを送る機能でいいんじゃないかね。常時ネットにつながっていること前提にできる時代ならこれでいけるはず。
2019/07/09 12:23
kamezo
端末が個人に紐づけられているならパスワードは不要ではないかという話。
2019/07/09 12:23
hotu_ta
Googleのパスワード管理と、LastPassのパスワード管理のリスク分散パスワード管理体制が最強だと個人的に考えてる。
2019/07/09 12:24
cormorantcraft
某銀行のWEBでのパスワード管理がすごく面倒だったのが、スマホアプリだと生体認証(指紋)で済むのでもうそっちしか使ってない。ただ逆に言うと、スマホなくしたり指紋登録リセットされると終わる…
2019/07/09 12:28
airj12
もう指紋or顔での端末認証以外したくない
2019/07/09 12:32
sho
おれが宅配トラッカーでログインを廃したのもこういう考えがベースにある。
2019/07/09 12:40
yarumato
“どのWebサイトも「他サイトのバスワードを使わないで」と言うなら、人力で対処は無理。ブラウザのパスワード管理機能に頼るしかない。ならばパスワードはランダムでいい。となるとサイト側で決めればいい”
2019/07/09 12:44
buhoho
ブラウザがトークン管理の機能持ってほしい。Cookieにそれを管理させるのは心もとない
2019/07/09 12:44
naqtn
authentication、証明、認証、真であることを示すプロセスあるいは行為。スマホアプリにおいてはそのプロセスをユーザが行うことは不要であって、必要なプロセスは「移行」「回復」である。というような話の展開らしい
2019/07/09 12:48
sin20xx
基本同じ。全てのサイトで個別でランダムな文字列で設定。ただ、ブラウザの管理機能は単独だと怖いので、別ツールで一応都度登録して管理はしている。なので、漏らしてもそのサイトと縁を切るだけでパスワードは安泰
2019/07/09 12:48
dlive1
Twitterなど著名アプリはパスワードを覚えておらず、最初のログイン時にサーバ側で発行したアクセストークン(ランダムで長い文字列)をアプリが記憶。サーバ側は、端末のトークンでログイン状態
2019/07/09 12:59
watarux
こういうのをセキュリティ技術者が言ってるんだから経営層とかデシジョンする人たちが理解してやれって言って行かなきゃいけないんだよなあ。iOSとChromeの垣根もどうにかならんかな・・・
2019/07/09 13:04
chiba1008
もうラストパスがないとまともにネットできない身体になってしまった…(´・ω・`)
2019/07/09 13:12
srng
Chromeで管理、スマホでもChromeなら共有されてる。それだけだと不便があるかもしれないので別途自前の雑な管理アプリにも保存してる
2019/07/09 13:13
ikurii
すぐにログアウトしてしまい、頻繁にログインを求められるのは、企業側が責任を負いたくないからだろうね。/ 最近出たすき家のアプリは、電子マネーを兼ねてるけど、ログインという概念がない。
2019/07/09 13:16
stealthinu
完全にパスワード管理ツール任せにするなら個別パスワードは不要という考え。パスワード管理ツールを信用しきれてないのだがそうすべきなのだろう。
2019/07/09 13:29
T2YAkun
高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)
2019/07/09 13:38
mas-higa
“その目的のために、これまで通りのパスワードを使ってしまうと、元の木阿弥です。” ほほう "しかし、Twitterやfacebookといった著名アプリ" はこの状態。
2019/07/09 13:50
ooblog
「使いまわさないで!~サイト運営者から渡される~ランダムな文字列(トークン)~「パスワード」と呼ぶには相応しくありません~引き継ぎをどうする~印刷して金庫」ビットコインのQRコードみたいな話に。
2019/07/09 14:05
shag
chrome に覚えさせるのは chrome がある環境(PC, Android, Mac)に限定すれば快適なんだけどな。google account の管理がやばくなる。
2019/07/09 14:28
kamemoge
人の記憶力には限界があるのでもっと簡単な認証の仕組み欲しい
2019/07/09 14:31
mofigan
ブコメみたけどGoogleにBANされたことがある身としてはChrome同期なんて恐ろしくてできない。その人の判断だからどうでもいいんだけど個人的には伴侶と同じかそれ以上にGoogleを信用できるレベルになったら検討するレベル。
2019/07/09 14:32
yoko-hirom
物理鍵へ回帰する未来。多ビットパスワードを物体にハードコード。金属板の輪郭に溝を切ったりパンチ穴を開けたり。それを差し込む穴の開いたデコード装置とセットで。
2019/07/09 14:43
igrep
昨今スマホとパスワードマネージャーとを連携させる機能も大分発達してきたしなぁ。自動でパスワードを生成して登録するAPIまで作ってしまえば確かに要らなさそう。ちなみに自分は長年KeePass 2を使ってます。
2019/07/09 14:43
style_blue
いまだにパスワードの定期更新させるサービスの多いこと。
2019/07/09 14:52
proverb
1Passwordの身体になっちまったので、コピペ不可のフォームに稀に出会うとビキビキする
2019/07/09 14:58
ssig33
これ一見正しそうに見えるんだけど多分正しくなくて、 LINE とかそんな感じでアカウントや認証を意識させないUXだったのが結局普通のID/PWな認証になった。非ID/PWなアカウントって非技術者には理解できないんだと思う。
2019/07/09 14:59
miraiez
ペイアプリの開発作法が広まる前にオレオレペイが乱立したせいもあるかもしれない
2019/07/09 15:09
frkw2004
複数端末からの利用の時はトークンを使い回すことになるけど、手入力は現実的ではないよな。
2019/07/09 15:29
misatamu5
セブンペイはただ単純に軽んじてたんだよ
2019/07/09 15:37
raitu
“パソコン内に保管せず、紙に印刷して金庫に保管するよう促すとよいでしょう。”スマホ認証のroot of trustが物理金庫か…🤔 将来的にはSIMにトークン保存できればいいが
2019/07/09 15:37
renos
人類には早い気もする…
2019/07/09 16:41
hasegawatomoki
Mac使いはiPhone使ってSafariで統一すれば快適だよ!(とか言いつつたまに使うWindowsとも同期するために1passwordも併用してるのだけど。)
2019/07/09 16:49
shidho
chrome、どれがidでどれがパスワードかの判別をよく間違える(My DocomoとかJALのマイレージとかで頻発する)のであんまり信用してない。
2019/07/09 17:10
beki_hb
その人と一心同体かつ確実に独自なキーとなるともう生身しかない...あとはやっぱり埋め込みですかね
2019/07/09 17:20
oriak
指紋認証便利すぎてあらゆるパスワード入力全部これになってほしい
2019/07/09 17:56
Dursan
「前置きが長くなっていつ完成するかも見えない」訳:激おこプンプン丸なのだ!
2019/07/09 18:33
trashtoy
ここまで WebAuthn への言及が全くないことが意外
2019/07/09 19:45
question2010
FIDO認証が一気に広がる機運が高まってくるのかな?
2019/07/09 20:06
roirrawedoc
パスワードが無くてメールでログインのサイトは既にあるよ。あまり広まらないのは習慣が優先されるから?
2019/07/09 20:20
o_mega
パスワード忘れる毎に人力再発行運用するパスワードと、ログイン時にブラウザ/アプリがクッキーとかで覚えるセッションの違いが分からなくなっていく世界
2019/07/09 20:27
xufeiknm
せめて数年くらいで官公庁がこのレベルに来てくれるとうれしい。いまだに定期変更強要する役所は害悪でしかない。
2019/07/09 20:45
mjq
スマホゲー(アズレン)はDLからプレイ開始までPW発行なし。他端末でそのIDを使うタイミングで引き継ぎコード(トークン)を発行して、それを他端末から入力して利用可能になる
2019/07/09 23:25
zmk99
それが真にパーソナルならば
2019/07/09 23:51
nijigenjin
2015年から予測されたことをできなかったセブンイレブン
2019/07/09 23:57
akizuki_b
クロネコは、スマホのブラウザからだと毎回アマゾン経由アカウントとパスワードを求めてくるので、地味に面倒くさい
2019/07/10 06:16
odakaho
メイン紛失時対策にサブSMS用の契約しとかないと不安だなあ
2019/07/10 10:20
longroof
はい(´・ω・`)…
2019/07/10 10:59
haruten
指紋認証はパスワードの代わりになるものじゃなくて、常時ログインしっぱなし端末を使うためのPINと同じ
2019/07/10 13:27
rkchy
パスワード管理ソフトのマスターパスワードと、バックアップを保存したクラウドストレージのログインパスワードしか覚えてない