パスワード管理ムズすぎ。セキュリティの専門家が考える対策は?

Поделиться
HTML-код
  • Опубликовано: 27 дек 2024

Комментарии • 292

  • @yurucom
    @yurucom  9 месяцев назад +19

    【『データセキュリティ法の迷走』購入はこちら!】
    ・VALUE BOOKS → www.valuebooks.jp/bp/VS0088528762
    ・Amazon → amzn.to/49TxQ1f
    ※VALUE BOOKSで買ってもらえると我々に書店利益が入るので大喜びします。

  • @kyoh86
    @kyoh86 9 месяцев назад +335

    「杉並警察署少年課補導室で反省文を書く衒学家インターネット芸人31歳」という文字列、最高すぎるのでパスワードに使おうと思います

    • @hukuuchi
      @hukuuchi 9 месяцев назад +38

      文章をパスワードにする戦法は、覚えやすいしセキュリティ的にもバッチリ
      少年課が
       shounenka
       syounenka
       shounennka
       syounennka
      などで揺れるのは個人の癖を固定化すればおk

    • @ユーら
      @ユーら 9 месяцев назад +29

      PEBCAK見つけた

    • @trip-person-of-village0301UA
      @trip-person-of-village0301UA 9 месяцев назад +2

      内容的にパスワードになりますが、堀元さんのユーザーIDにして欲しいですね

    • @muhrizqiardi
      @muhrizqiardi 9 месяцев назад +6

      スペシャルキャラクターがたりないです。

    • @inazuchi500
      @inazuchi500 4 месяца назад

      @@muhrizqiardisugin@m!keisatsushoshounenk@とか

  • @楽用喉飴
    @楽用喉飴 9 месяцев назад +146

    パスワードを使い回さないようにしたら自分すらログインできない最強のセキュリティが完成してしまったことがある

    • @bigfoot9548
      @bigfoot9548 9 месяцев назад +5

      わっかるぅー!

    • @nobreads_456
      @nobreads_456 6 месяцев назад

      だからこそGoogleやAppleの「同じパスワードが使用されています」という警告文はいらない

  • @Fnak202
    @Fnak202 9 месяцев назад +55

    セキュリティ所の難しいところは、サーバー構成や設計書なども見ないと判断できない事ですね。外部の人に見せること自体がセキュリティリスクになってしまいます。
    セキュリティテストの様に外部から攻撃して検証する手段もありますが、Twitter 社がログにパスワードを平文で保存していた事件(実は Twitter 社もやらかしてます)などは、発見が非常に困難です。
    近年、政府系の事業を請け負う場合「情報処理安全確保支援士がいること」という条件が増えてきています。
    大手はそれでよいのですが、問題になるのは中小企業や個人が立ち上げた WEB サービスですね。
    国が認定しているセキュリティ認証マークはいくつかありますが、WEB サービスに特化したものは、まだなかった気がします。(未調査)

  • @nanohanaya1201
    @nanohanaya1201 9 месяцев назад +107

    デジタルセキュリティ所。
    wedサービスを始めるに当たっては越えなきゃいけないって事で、現代のセキ所って事ですねっ

    • @chisa1927
      @chisa1927 9 месяцев назад +9

      個人的に座布団差し上げます😂

  • @user-MI1234
    @user-MI1234 9 месяцев назад +104

    4:00 えと、会社の隣の席のITのおじさまに、自分のパスワードがいかに素晴らしいか、教えてもらったことがあります。😂

  • @chromarock5928
    @chromarock5928 9 месяцев назад +38

    公衆衛生に似ているという発想はなかったです。目から鱗でした

  • @tayashoki1831
    @tayashoki1831 9 месяцев назад +18

    おそらく水野さんは「アラートが出すぎると人はアラートを気にしなくなる」という話題をゆるコンピュータ科学ラジオで扱ったことを忘れている

  • @Shushupu_Love
    @Shushupu_Love 9 месяцев назад +37

    4:29 Problem between chair and book

  • @ba-el2wl
    @ba-el2wl 9 месяцев назад +45

    googleやTwitterと紐づけてアカウント登録するやつ、どれと紐づけたのか分からなくなる

    • @mentosukoala
      @mentosukoala 13 дней назад

      一部のパスワード管理ソフトではそういうのも管理できます!

  • @andanish3009
    @andanish3009 9 месяцев назад +32

    さすが堀元さん、常人では体験できないエビソードを持ってる

  • @tekoku3
    @tekoku3 9 месяцев назад +59

    『何か起きたらマズイ』みたいな法律ってだいたい何か起きてからできるよね…

    • @francescogatti3002
      @francescogatti3002 9 месяцев назад

      何か起きる前に法律作るのって実は不可能なんですよね。不可能ったらあれですけど、想定しないところを縛ってしまって天下の悪法が爆誕する危険があったりします。やれるのは独裁国家ならワンチャンあるかなぐらいです。

    • @早川眠人
      @早川眠人 9 месяцев назад +34

      法が先行すると警察国家だと批判する輩が出てくる

    • @tekoku3
      @tekoku3 9 месяцев назад +10

      @@早川眠人
      せちがらい…

    • @iotayng
      @iotayng 9 месяцев назад +21

      マニュアルは血で書かれている。

    • @shinor.1472
      @shinor.1472 9 месяцев назад +1

      生存バイアス

  • @kentoo_1
    @kentoo_1 9 месяцев назад +22

    パスワードの定期的変更を求めたり、最大文字数が8文字だったりするサイトを行政に通報できる仕組みがほしいなぁ。今かなりの銀行がちゃんとやれていないもの

    • @WinLinux1028
      @WinLinux1028 9 месяцев назад +10

      あと記号が使えないのも滅んでくれと思う
      ASCII印字可能文字の範囲なら自由に使わせてほしい

    • @シーロン
      @シーロン 9 месяцев назад +9

      誰でも思うそんな重要なことを変更できないくらい、社内でちゃんとしたコミュニケーションがとれない会社なのかなと邪推しちゃう

  • @nashi.2279
    @nashi.2279 9 месяцев назад +32

    こういう「行政が事前に監査する」って発想、逆張り芸人なら「テクノロジーはどんな思想にも縛られない、自由な存在であるべきだ!」みたいなこと言ってすげえ反発しそう

  • @os2387
    @os2387 9 месяцев назад +28

    20:49
    水野さん「are」

    • @renk1310
      @renk1310 6 месяцев назад

      なんか、herに聞こえなくもないですね。文脈によってどっちにも聞こえそうな感じ

  • @Umiatsix
    @Umiatsix 9 месяцев назад +18

    水野さんのパスワードは
    Daikon + 生年月日
    とかであってほしい

  • @ぴろ-piropiro
    @ぴろ-piropiro 9 месяцев назад +32

    パスワードを覚えられない問題、PCに付箋でパスワードを貼っておくのはどうだろうか?

    • @術中hack
      @術中hack 9 месяцев назад +24

      なるほど~ その手法は斬新だね。悩んでいる同僚のボブに提案してみるよ。

  • @f-saki
    @f-saki 9 месяцев назад +10

    どこだったか忘れたけど
    パスワードの変更が定期的に必要 & 過去に使用したパスワードは使えない
    というのがあって困った。

  • @akinaka7543
    @akinaka7543 9 месяцев назад +24

    13:15 うーん少なくとも写真アップだと「誰に対して」その写真を表示すればいいのかを「事前(ログイン成立前)」に決めれない気がする。パスワ入力前に写真表示しちゃうと逆に攻撃者がアカウント名の総当たり攻撃を単純にやるだけで写真見れちゃうし。

    • @moroha10085
      @moroha10085 9 месяцев назад +1

      確かに……。でも、サービス側を認証するアイデア自体は良さそうですよね。チャレンジ認証とか使えそうだけど考えたら色々問題もありそうだな…。

    • @tktk5656
      @tktk5656 9 месяцев назад +4

      フィッシング想定だとメールに添付って感じっすかね

  • @SCP-8900-EX.
    @SCP-8900-EX. 9 месяцев назад +52

    推しのVTuberが「あらゆるパスワードに誕生日を用いてるから誕生日を公開しない」と言ってて、身バレ防止とかじゃなく面白かった

    • @SWORD_219
      @SWORD_219 9 месяцев назад +1

      お嬢様目指してる満天一般人さんですかね?あの方なら本行確認の写真に胃カメラ画像使用しそうだな

    • @renk1310
      @renk1310 6 месяцев назад +2

      てか、誕生日って366通りしかないんだから、日本人でも単純計算で同じ誕生日の人は30万人ほどいるはずだから、身バレのしようがないと思うんだけど…

    • @ss-uk9pe
      @ss-uk9pe 5 месяцев назад +6

      @@renk1310 ネット上のちょっとした振る舞いとかの情報であの人かな?となったところへ誕生日で確信を得るもしくは強めるみたいなパターンはいくらでもあると思うの

    • @ああ-o1g8h
      @ああ-o1g8h 4 месяца назад

      @@renk1310 2/29だったらどうか。想像力働かせようねぇ

    • @renk1310
      @renk1310 4 месяца назад

      @@ああ-o1g8h はいはい、訂正訂正(しといたよ)

  • @仮名真偽
    @仮名真偽 9 месяцев назад +16

    なんやかんや持ってる国家資格「情報安全確保支援士」
    動画内での提案を実現するような仕組みに対する布石なんだろうか

  • @geromosa
    @geromosa 8 месяцев назад +2

    「任意の文字列」と「サービス名のn文字目のアルファベットを一文字ずらしたもの」をいくつか組み合わせたものを使っている
    これで(サービス名が変更しない限り)パスワードを使いまわしつつ覚えられる

  • @tamarind_kingdom
    @tamarind_kingdom 9 месяцев назад +26

    無限の記憶力と情報収集能力が当たり前に求められる現社会、無理すぎて淘汰されるしかない

  • @鰤臼
    @鰤臼 9 месяцев назад +12

    確かに公衆衛生と近いですね。特にターゲットの件を聞くと強くそう思います。

  • @術中hack
    @術中hack 9 месяцев назад +9

    IPA(国際音声記号でなく、独立行政法人情報処理推進機構)が周知・啓蒙したり、情報処理安全確保支援士を普及させたりしようとしてるけど、まだまだ道半ばだなぁ。支援士もしばらく必置資格にはならなそうだし、法整備が無いままでは動きづらい印象。

  • @panchopancho2000
    @panchopancho2000 9 месяцев назад +22

    デジタル庁じゃなくてデジタルセキュリティ庁を作れと主張している人がいました。
    ただ今の日本の行政も大企業もデジタルポンコツばかりらしいので…みずほ銀行とか

    • @TheGospellers
      @TheGospellers 9 месяцев назад +6

      官公庁や企業がラインを使っている時点で駄目です。

  • @berandamegane9476
    @berandamegane9476 9 месяцев назад +8

    15:47 二段階認証(ちなみに二要素認証のほうがより適切)の面倒くささ分かります!
    個人的には、スマホがパスワード代わりになる「パスキー」(Passkeys) によるパスワードレス認証が普及すると良いのですが。

    • @shimajiroh1
      @shimajiroh1 4 месяца назад +1

      何がなんかよくわからんうちに二段階認証になってた、という人が多いと思いますが、これからは何がなんかわからんうちにパスキー設定されてたという人が増えそう。
      パスキーの方がずっと簡便で強いと思いますが・・・

  • @鰐口のざめ
    @鰐口のざめ 9 месяцев назад +95

    PSYCHO-PASSの話だ!っておもったらマイノリティ・リポートの話でした。ちくしょー!

    • @ユタカ-y8p
      @ユタカ-y8p 9 месяцев назад +4

      犯罪係数測られちゃう!

    • @たきび-d5h
      @たきび-d5h 9 месяцев назад +12

      マイノリティ・リポートは予知能力者の合議制で未然に防いでるからpsychopassの方がジャストの例ではある

    • @ssbh7314
      @ssbh7314 2 месяца назад

      やっぱり同じこと思った人はいましたかw

    • @narara4761
      @narara4761 Месяц назад +1

      今更ながら、PSYCHO-PASSだ! と思っていたのでこのコメントに出会えてよかったです!

  • @mudaso-heavy-user
    @mudaso-heavy-user 9 месяцев назад +28

    楽しみに待ってました

  • @cosmo_is_cosmo
    @cosmo_is_cosmo 9 месяцев назад +26

    証券会社勤務の人間です、パスワードと取引暗証番号が違うの訳分からん!ってお問い合わせは結構頂いているのですが、セキュリティを考えるとなかなか統一するのは難しい問題でして……本当に申し訳ない気持ちでいっぱいなんですが、むしろ何か解決策があれば教えて欲しいくらいです……

    • @もっちの
      @もっちの 2 месяца назад

      取引暗証番号の代わりに、ワンタイムパスワードか生体認証ですかね
      ログイン時点か取引毎かはお好みで
      取引暗証番号って数字4桁とかチープなのが多いのはなんでだろう

  • @ickwat
    @ickwat 9 месяцев назад +4

    2要素認証も気休め程度の予防策だと思うようになりました。
    SIMスワップでスマートフォン(というか回線ですかね)を乗っ取られた瞬間、
    「あれ、圏外になった」といぶかしんでいる間に証券会社や銀行口座から全額引き出されているのは悪夢ですよね

    • @ickwat
      @ickwat 9 месяцев назад

      フィッシング詐欺に限定すると有効かも、という話ですね

  • @iku1056
    @iku1056 9 месяцев назад +7

    そこそこ大手のIT企業にいます、近年webappネイティブapp共にリリース前、または定期的にセキュリティテストを置くことが増えてきています。ここで話してる行政的なものではないですが、事前チェックの必要性は浸透し始めてるのかもしれないですね。

  • @nanaki1006
    @nanaki1006 9 месяцев назад +10

    パスワードの特定なんて桁が増えるほどめんどくさいんで、
    一切のルール無視してローマ字でいいから覚えやすい言葉でとにかく長くすることが一番な気がします。

  • @umitz1729
    @umitz1729 9 месяцев назад +2

    従来の解決策はあまりに人間的制約を無視している、という主張、今まで何となく思っていた違和感をよくぞ言語化してくれた!という気持ちです

  • @a30meriokun
    @a30meriokun 21 день назад

    聞いてて心地良い
    相性良いし、お笑いコンビでも成功しそう

  • @Alphakun
    @Alphakun 9 месяцев назад +24

    これってIDを入力だけで画像を取得できてしまうなら偽サイトが元サイトを参照して表示できるのでは…?

    • @gogogirl984
      @gogogirl984 9 месяцев назад +5

      そうですよね。
      そしてその種の問題点を、簡単容易に解決する仕組みはまだ無く、実現するとしたら面倒な仕組みになるはずなので、結果二要素認証に落ち着くと思います。

    • @Alphakun
      @Alphakun 9 месяцев назад +1

      @@gogogirl984
      確かにそうですね、二要素認証はユーザー側が偽造できないのはもちろん、
      要素によってはサーバー側も偽造できないという点も重要だと感じますね。

    • @早川眠人
      @早川眠人 9 месяцев назад +1

      サイトにログインするのに第一パスワード、写真を確認後、出金するのに第二パスワードでは如何。

  • @kentoo_1
    @kentoo_1 9 месяцев назад +17

    ブラウザのパスワードマネージャに覚えさせるのがどのくらいリスクがあるのか、定期的変更はアカン、などもやってほしいです!

    • @vnkjm1831
      @vnkjm1831 9 месяцев назад +6

      ブラウザに覚えさせたパスワードが漏洩するリスクよりも,ブラウザに覚えさせたパスワードが全部消える方のリスクのほうがむしろ怖い.
      定期的な変更を求められるパスワードに関しては,パスワード設定時点の西暦年をパスワードの後ろにつけることで対処可能だが,たんに面倒であるだけでなく,パスワード変更のときにキーボードをロギングされるリスクを考えると,定期的な変更の強制はむしろ害悪でしかない.

    • @アイスクリーム-p6k
      @アイスクリーム-p6k 9 месяцев назад +6

      偽サイトがURLを偽造してきたとき、パスワードマネージャーは必ず反応しないので、異常に気づきやすくなります。
      人間が人力でURLをチェックして偽サイト詐欺を対策するよりは、パスワードマネージャーを使う方がリスクが低いという考え方もあるかと思います。

    • @vnkjm1831
      @vnkjm1831 9 месяцев назад

      それにも問題があって,めったに使わないサイトの場合,パスワードをブラウザが覚えているのかどうかが自分自身にもわからない場合があります.

  • @user-kankara_oV3yQ
    @user-kankara_oV3yQ 9 месяцев назад +2

    パスワード自体がもはや危ういような気がしています。
    本来、パスワードが他人に盗まれないように通信処理の中で暗号化が掛かるのですが、
    最近はパスワード自体を盗まず、「パスワードで認証成功した手段と結果」を暗号化が解読されないまままるっと盗むケースがあったらしいのです。
    やってることは脳筋なのに、マンガの異能バトルで終盤に出てきそうな、メタ読み系の異能が出てきて「え?どうすりゃ勝てるの?」とちょっとした絶望感を覚えましたね。

  • @hrsm-chn
    @hrsm-chn 9 месяцев назад +4

    失敗への制裁を強めにすると人は隠蔽し始めるからなあ

  • @kirai-3
    @kirai-3 7 месяцев назад +2

    水野さんの名古屋弁からしか得られない栄養がある

  • @chinchillin3738
    @chinchillin3738 9 месяцев назад +1

    セキュリティはサイバーハイジーンという手法、考え方が大事とされていますね

  • @itkmusic
    @itkmusic 9 месяцев назад +1

    昨日マイノリティリポートを観た所になんてタイムリーな動画…!
    パスワードは面倒臭くなって全部同じにしてしまっていますが、使い分けが重要なんですね~。

  • @もげら-m5u
    @もげら-m5u 4 месяца назад +1

    セキュリティにおいて日本語には圧倒的なメリットがあります。日本語のローマ字表記は非日本語圏には意味ある文字としての理解が難しいのです。
    日本語をローマ字表記にして少しいじるだけで覚えやすいのに複雑なパスワードが簡単に生成できます。

  • @hirokikaminaga4425
    @hirokikaminaga4425 7 месяцев назад +2

    ペネトレーションサービスを業務としてやっている会社はあるけど、それを行政がやろうとすると難しいのは法律だろうか。簡単に言えばチェックのために攻撃を仕掛けるのが是か否か。専門知識を有するマンパワーもいる。ある程度自動化も出来るだろうが、不測の事態の責任は取れない。データ全部消えちゃいました、とか。

  • @nakami4402
    @nakami4402 9 месяцев назад +4

    12:55
    その作りだとID入れただけで交換した画像が詐欺師に見えちゃうから逆効果です。

  • @akinaka7543
    @akinaka7543 9 месяцев назад +2

    25:18 外注も可哀想だなー。このように外注だからといって作業環境の精度を社内より下げるのはトータルで製品の品質を下げる結果になるからヤメタほうがいいと感じてます。いわば偽のコスト削減。

  • @llil7934
    @llil7934 9 месяцев назад +5

    33:02 リスク評価で真っ先に引っかかるであろうnoteを巧みに隠蔽する堀元氏

  • @-yako-4326
    @-yako-4326 9 месяцев назад +5

    最近責められるデータ漏洩って会社のPCを酔って落としたとかの事例が多くて、社会としてある程度理解はされつつあると思うな。

  • @REIA-t1
    @REIA-t1 9 месяцев назад +3

    セキュリティ所があるせいでイノベーション起こらなそうだからつくらない派閥です。
    サイバー犯罪対策課がハッキングしまくってサーバーをダウンさせまくったらそれに対応するためにセキュリティレベル上がりそう

  • @kentaroito1908
    @kentaroito1908 9 месяцев назад +2

    データセキュリティ法の迷走取り上げてくださるなんて。。。
    職業柄個人情報保護法かじっていて、委託先に情報セキュリティにかかるチェックリストを提出させていますが、前年度のものをそのまま提出し(法改正で内容変わったことを周知したうえでも)、かつ我々もコミュニケーションが億劫で適当にヒアリングして受け入れてしまうことがままある(当局に疎明できればよいので…)ので、痛いところをつかれてしまいました。

  • @520K
    @520K 9 месяцев назад +1

    最近では、 サイバー・ハイジーン / サイバー衛生 / サイバー公衆衛生 や オフェンシブ・セキュリティ という概念があります。
    また、サイバーセキュリティ遵守に(全業態で直接的に)関する法律は現状ありません。ガイドライン等による自己評価に留まりますね。(個人情報保護法や犯罪収益移転防止法くらいでしょうか)
    で、二段階認証 は 二要素認証 と表現した方が良いかと思います。

  • @tktk5656
    @tktk5656 9 месяцев назад +2

    労基や保健所があっても被害はなくならないけどまぁ「多少はマシになる」ってことなんだろうけど。「多少はマシになる」が情報セキュリティにとって有効かどうかですかね。

  • @ergaomnes.hiroto
    @ergaomnes.hiroto 9 месяцев назад +6

    11:48 私は「それPSYCHO-PASSやないかい」でした。笑

  • @Pepe-dn4od
    @Pepe-dn4od 9 месяцев назад +2

    私のパスワードは好きなバンドの解散日と推しの会社の旧社名と新社名です。

  • @perfforyou
    @perfforyou 9 месяцев назад +1

    メールやプロキシなど電気通信の仲介をする場合は電気通信事業者の登録があるけど、あれはどちらかというとセキュリティというよりは設備、インフラ関係の制約だからなあ

  • @酢-l2h
    @酢-l2h 9 месяцев назад +5

    4:04 Probrem exists between chair and konnpyuta

  • @ようかん-l5w
    @ようかん-l5w 6 месяцев назад +1

    2段階認証はパスワード破られてもなんとかなるからありがたい

  • @totto2727
    @totto2727 9 месяцев назад +2

    パスキーは端末のパスワードと生体認証で覚える必要もないし、盗まれる可能性もまだ低いから、現実的な解として十分ありだなぁ
    指紋盗まれる、顔認証の誤りリスクがどの程度かは気になるけど

  • @h_u5417
    @h_u5417 9 месяцев назад +2

    セキュリティ所というより、
    会社の監査する際にセキュリティの
    項目入れればいいのでは?

  • @akinaka7543
    @akinaka7543 9 месяцев назад +3

    28:26 保健所かぁ…。システム作る側は中身の事情を見せたがらなそうだし、レビューする保健所側も担当者の数/質が確保できなさそう。AI化しても十分に学習するまで時間かかりそうだし、その保健所AI「が」漏洩したらと思うと…。あとITは保健所の指導が時代遅れになりやすそう。あとbusinessじゃない場合をどうするか…

  • @check0mate2004
    @check0mate2004 9 месяцев назад +2

    セキュリティ所なんてデジタル庁のあり様を見たら人材的に無理でしょ
    未だに自動車とか重厚長大に手厚い政治家はそんな決断できない

  • @hiroyukippp7380
    @hiroyukippp7380 9 месяцев назад +1

    自分は重要度によって、何段階かに分けてますね。

  • @セイゲドン
    @セイゲドン 9 месяцев назад +5

    少年課の補導室で反省文を書いたことがあるおじさん

  • @天才の証明
    @天才の証明 9 месяцев назад +4

    スノーデン氏のセキュリティ対策ツイートで笑った記憶がある
    スマホはgraphen一択
    pcはcubeosとtailsの両刀
    ブラウザはtor
    業務効率悪そうだなと思った

  • @licca2673
    @licca2673 9 месяцев назад +2

    Nisa やるぞー!と 意気込んで手続きしたけど、パスワード もう分からず。 右肩上がりの経済のグラフ見つめながら、参加できずに泣いてます。

    • @hedgehog7243
      @hedgehog7243 9 месяцев назад +2

      同じ人いて笑う。笑笑
      口座開設までしたのに、パスワードとか心理的ハードルが高くて挫折する。

  • @before_z
    @before_z 9 месяцев назад +4

    フィッシング詐欺はghotiing詐欺という理解で合っているでしょうか?

  • @momig
    @momig 9 месяцев назад +3

    保健所のような政府が指導するようになるとまた既得権益が蔓延って現実世界のにのまえになるので反対だな~
    保険屋とかがやればいいんじゃない?

  • @トイナナ-k1y
    @トイナナ-k1y 9 месяцев назад +3

    パスワードというとソースは眉唾な話だけど、セキュリティリスクがある4桁パスワードワーストになぜか日本だけランダムな数字があって話題になったらしい(某押井アニメのキーワードなのでみる人が見ると秒で察するとか)
    ここの中にも使ってる人がいるんじゃないですか?

  • @1255213
    @1255213 9 месяцев назад +26

    積読チャンネルじゃないのに積読を増やさせないでくれ

  • @kumasan1969
    @kumasan1969 2 месяца назад

    金が関わるところはなるだけMFAを入れ、MFA を使えないところは、そこ専用のプリペイドを使うことを薦める。

  • @サンカクふらすこ
    @サンカクふらすこ 9 месяцев назад +3

    31:26 ザッカーバーグ超えの堀元さん

  • @hanada-34g
    @hanada-34g 6 месяцев назад

    ほりもとさんが言ってる写真で銀行認証するの、本っ当にいいと思った。
    あと、ハッシュ関数の話も面白かった。不可逆の変換なんて出来るの?って思うので調べてみる。

  • @kap1123
    @kap1123 9 месяцев назад +5

    オラのパスワードは、とある映画の中でパスワードとして使われてたやつをそのまま使ってます。
    今まで一度も破られたことないので助かってます。

    • @roadevery9434
      @roadevery9434 9 месяцев назад +4

      私の暗証番号はサイコロ振って決めてます。わからなくなったら?もう一度降れば大丈夫。

    • @早川眠人
      @早川眠人 9 месяцев назад +1

      オラのパスワードは誕生日です。今まで破られてないので助かってます。
      誕生日と云うのは嘘です。

  • @nobi_soramin
    @nobi_soramin 9 месяцев назад +2

    わーい。水野さんの名古屋弁回だ✨

  • @lyz_2151
    @lyz_2151 6 месяцев назад +2

    堀元さんの反省文、扱いとしては公文書になってずっと保存されたりするんかな?w

  • @daizu_dice
    @daizu_dice 9 месяцев назад +2

    反省文って言うと面白ワードになりますが遅延理由書ですかね?
    届出や申請が遅れたら添付するよう求められるやつです。
    年間10件くらいは「提出期限過ぎてるので遅延理由書もください」って言ってます。はよ出せや。

  • @-Frien_Channel
    @-Frien_Channel 9 месяцев назад +3

    誕生日すらまともに覚えられない記憶力弱者なのでパスワードが大量に必要な文化で詰みかけます...

    • @早川眠人
      @早川眠人 9 месяцев назад

      常にグーグルにログイン状態でChromeわ使いましょう

  • @ss2943
    @ss2943 9 месяцев назад +8

    自分は、ある文字列を入れ替えたり、文字種を変更したりする自分なりのややこしい規則を作って、それだけ覚えてる
    あとは、「ペットの名前+webサービス名」に対してその規則を適用して、パスワードにしてる
    十分複雑で、忘れても割とすぐ復元できる
    定期的に変更を強いられると訳わかんなくなるけどね……

    • @セイゲドン
      @セイゲドン 9 месяцев назад +8

      こういう風にパスワードのヒント教えてくれる人いるよね
      1コマ漫画と同じ

    • @ss2943
      @ss2943 9 месяцев назад

      ​@@セイゲドン人に教えるときは「ペットの名前」の部分を変えます笑
      なんなら実際にはペットの名前じゃないしね

    • @Li2nSo1ngPi2ng
      @Li2nSo1ngPi2ng 7 месяцев назад

      ​@@セイゲドン
      ここにヒント書いたところで何にもならんやろ😅
      1コマ漫画とは訳が違う😂

  • @大賀聡
    @大賀聡 9 месяцев назад +3

    アナログで馬鹿みたいだなぁと感じていた事例が続々出てきて感動するとともに、そのいずれもが個人の努力や一企業の技術力では解消しえない問題であったという事実に深い落胆を禁じ得ない。ただし補導室で感想文だけはローテク時代遅れおじさん感過ぎて許せん。

  • @funasanlibra
    @funasanlibra 9 месяцев назад

    水野さんが言語学に特化した人間で面白いですwww😊

  • @showquwa3771
    @showquwa3771 9 месяцев назад +6

    その監査制度、プライバシーの頭文字を取って「Pマーク制度」という名前はどうでしょうか
    大手との取引や入札の必須条件にすればみんな取得するし、Pマークコンサルなど周辺事業も創出できていい事ずくめですね

  • @いどふり
    @いどふり 9 месяцев назад +3

    最近のゆるコンピュータ科学ラジオ、おもろい

  • @ssbh7314
    @ssbh7314 2 месяца назад

    堀元さんや水野さんが普段どれくらいの総数パスワード管理されててそのうちどれくらい記憶しているかってことも今回の話の中ではある程度は知りたかったなw

  • @daiyuki7235
    @daiyuki7235 9 месяцев назад

    事前チェックというと、ISMS認証とかPマーク認証とかあるけど、任意だからなー

  • @takedesu0
    @takedesu0 9 месяцев назад

    セキュリティ所あると良いけど、本社、サーバーが海外だとチェックされなかったりしそう。

  • @tooro8818
    @tooro8818 9 месяцев назад

    ログイン前に写真表示は、リレー攻撃(ユーザが偽サイトに入力したアカウント名を、裏で本物サイトに送って写真を取りよせる)でダメなのでは。

  • @borley1211
    @borley1211 9 месяцев назад

    12:07
    ID入力時に写真で本行認証→ID総当たりで事前に組み合わせが割れてしまう
    ID+パスワードでログイン後に写真で本行認証→ログイン先が偽サイトだったら画像が違っていようが情報抜かれてるので手遅れ
    サービス側を認証したいけど、適切な認証のタイミングが存在しないのが切ないですね
    やはり二要素認証 or パスキー(スマホが認証キーになる)が関の山なんでしょうか

    • @borley1211
      @borley1211 9 месяцев назад +2

      そもそも「盗みを企む人が面倒くさがるようなことは善良なユーザーにとっても面倒」な場合が多いのが辛いっすね…
      RSAくらいのブレイクスルーがないと厳しいのかも

  • @ti6079
    @ti6079 9 месяцев назад +5

    パスワードを定期的に変更させるのやめろ警察「パスワードを定期的に変更させるのやめろ👮」
    (お陰で、キーボードを上下左右に連続して押すパスワードが…)

    • @早川眠人
      @早川眠人 9 месяцев назад

      他にもパスワード使い回しやめろ警察がある

  • @matanki153cm
    @matanki153cm 9 месяцев назад

    4:24 Problem Exists Between Chair and Microphone...

  • @シーロン
    @シーロン 9 месяцев назад +1

    セキュリティ所は税務署みたいに申告もさせつつ、ランダムに最低限の攻撃を仕掛け守れなかった場合に罰金するのはどうだろ

  • @momo-er1ut
    @momo-er1ut 4 месяца назад

    13:02 自分の送った写真で確認する。
    これやってるところは見た事ないけど似たような事で三井住友カードのメールにはニックネームをつけられるので、「山田 太郎 様」って来るところを「ようつべ 様」みたいに明らかに自分の設定した宛名で来てるな、と判断できるサービスあるの思い出した

  • @19_ioTlll
    @19_ioTlll 9 месяцев назад +1

    23:32
    何年か前にエクアドルの全国民の個人情報が流出した事件あったよなあと思って調べたら、それでも2000万人だった
    アメリカの規模ってすごい

    • @早川眠人
      @早川眠人 9 месяцев назад

      エクアドル政府がアメリカの企業に委託していたってこと?

  • @graph23
    @graph23 4 месяца назад

    ”反省文” にすると、警察の仕事は増えるのか/減るのか、どちらの目論見なのだろう。

    • @hiramenta
      @hiramenta 2 месяца назад

      確かに…
      なんせ、もう堀本さんがマッチングサービス開設する可能性は低そうですし。

  • @nmm16705
    @nmm16705 8 месяцев назад

    方向性は違うけど、今その保健所に当たるもので一番近いのが、アプリとかのプラットフォームの審査だよなぁ

  • @smithken2837
    @smithken2837 9 месяцев назад +6

    マイノリティリポートを映画じゃなくてF・K・ディックの名前で出すの良いっすねえ。
    映画も最高ですけんど。

  • @secretperopero
    @secretperopero 9 месяцев назад +1

    本行確認の写真の例だけど、IDを入れたら自分が提出した写真が出てきて「お、ちゃんと本行だな」ってわかるってことだけど、だったらフィッシングサイト側がいろんなIDをひたすら入れて写真を収集して偽サイト側がより強くなるだけでは?

  • @fontono
    @fontono 9 месяцев назад +1

    マイナンバーカード作る時にパスワードを3つも設定させられるのに閉口した。 実際使うときは1個しか要らないのに!
    それを使ってe-Taxで確定申告をするのにもウンザリしました。 手順が煩雑すぎるし、説明もわかりにくいし、UIも首を傾げざるを得ない部分があり
    何時間も試行錯誤させられた。来年もまたUI変わって同じく試行錯誤やらされるんだろうなー。
    お役所仕事ってさー・・・
    たとえ「ITビジネスセキュリティ保健所」みたいなものが出来ても、とんでもない問題が頻発するだろうなあ

    • @早川眠人
      @早川眠人 9 месяцев назад

      こないだ受け取ったばかりだが、数字のパスワードは1つ分しか設定できなかった。他の3つの欄は読み取り専用でカーソルが当てられなかった。逆に4つ違うものにする場合どうすれば良かったのだろうか?

    • @でんち-g2o
      @でんち-g2o 8 месяцев назад

      えー?自分の行った役所では4つあるパスワードの一つは必ず違うものであとの3つは同じでもいいですよーって言われた

  • @roflx100
    @roflx100 4 месяца назад +1

    飲み会行くんじゃねぇよって言われてて
    飲み会行ってコロナ食らってる奴が叩かれてたように思える
    個人の問題では?

  • @cancrow916
    @cancrow916 9 месяцев назад +4

    Happy Birth Day To You
    みたいな覚えやすい任意の文から
    HBDTYを取り出して
    HBDTY+サービス名(例:youtube)とかにするとサービスごとにパスワードが変わる上に覚えやすくて良い。
    数字とか記号必須の場合はHB0TYみたいに変えて、変える位置と文字は固定にしておく。

  • @cobitora
    @cobitora 9 месяцев назад +1

    サイト名、URL、ユーザ名、パスワードを
    一括で記しておけるパスワード管理帳が
    100均で売られてのを見つけて苦笑しちゃった