Размер видео: 1280 X 720853 X 480640 X 360
Показать панель управления
Автовоспроизведение
Автоповтор
【『データセキュリティ法の迷走』購入はこちら!】・VALUE BOOKS → www.valuebooks.jp/bp/VS0088528762・Amazon → amzn.to/49TxQ1f※VALUE BOOKSで買ってもらえると我々に書店利益が入るので大喜びします。
「杉並警察署少年課補導室で反省文を書く衒学家インターネット芸人31歳」という文字列、最高すぎるのでパスワードに使おうと思います
文章をパスワードにする戦法は、覚えやすいしセキュリティ的にもバッチリ少年課が shounenka syounenka shounennka syounennkaなどで揺れるのは個人の癖を固定化すればおk
PEBCAK見つけた
内容的にパスワードになりますが、堀元さんのユーザーIDにして欲しいですね
スペシャルキャラクターがたりないです。
@@muhrizqiardisugin@m!keisatsushoshounenk@とか
パスワードを使い回さないようにしたら自分すらログインできない最強のセキュリティが完成してしまったことがある
わっかるぅー!
だからこそGoogleやAppleの「同じパスワードが使用されています」という警告文はいらない
セキュリティ所の難しいところは、サーバー構成や設計書なども見ないと判断できない事ですね。外部の人に見せること自体がセキュリティリスクになってしまいます。セキュリティテストの様に外部から攻撃して検証する手段もありますが、Twitter 社がログにパスワードを平文で保存していた事件(実は Twitter 社もやらかしてます)などは、発見が非常に困難です。近年、政府系の事業を請け負う場合「情報処理安全確保支援士がいること」という条件が増えてきています。大手はそれでよいのですが、問題になるのは中小企業や個人が立ち上げた WEB サービスですね。国が認定しているセキュリティ認証マークはいくつかありますが、WEB サービスに特化したものは、まだなかった気がします。(未調査)
10年位前に、Googleが、oauthを標準化した。
デジタルセキュリティ所。wedサービスを始めるに当たっては越えなきゃいけないって事で、現代のセキ所って事ですねっ
個人的に座布団差し上げます😂
4:00 えと、会社の隣の席のITのおじさまに、自分のパスワードがいかに素晴らしいか、教えてもらったことがあります。😂
公衆衛生に似ているという発想はなかったです。目から鱗でした
おそらく水野さんは「アラートが出すぎると人はアラートを気にしなくなる」という話題をゆるコンピュータ科学ラジオで扱ったことを忘れている
4:29 Problem between chair and book
googleやTwitterと紐づけてアカウント登録するやつ、どれと紐づけたのか分からなくなる
一部のパスワード管理ソフトではそういうのも管理できます!
さすが堀元さん、常人では体験できないエビソードを持ってる
🦐⚔️
『何か起きたらマズイ』みたいな法律ってだいたい何か起きてからできるよね…
何か起きる前に法律作るのって実は不可能なんですよね。不可能ったらあれですけど、想定しないところを縛ってしまって天下の悪法が爆誕する危険があったりします。やれるのは独裁国家ならワンチャンあるかなぐらいです。
法が先行すると警察国家だと批判する輩が出てくる
@@早川眠人 せちがらい…
マニュアルは血で書かれている。
生存バイアス
パスワードの定期的変更を求めたり、最大文字数が8文字だったりするサイトを行政に通報できる仕組みがほしいなぁ。今かなりの銀行がちゃんとやれていないもの
あと記号が使えないのも滅んでくれと思うASCII印字可能文字の範囲なら自由に使わせてほしい
誰でも思うそんな重要なことを変更できないくらい、社内でちゃんとしたコミュニケーションがとれない会社なのかなと邪推しちゃう
こういう「行政が事前に監査する」って発想、逆張り芸人なら「テクノロジーはどんな思想にも縛られない、自由な存在であるべきだ!」みたいなこと言ってすげえ反発しそう
20:49水野さん「are」
なんか、herに聞こえなくもないですね。文脈によってどっちにも聞こえそうな感じ
水野さんのパスワードはDaikon + 生年月日とかであってほしい
パスワードを覚えられない問題、PCに付箋でパスワードを貼っておくのはどうだろうか?
なるほど~ その手法は斬新だね。悩んでいる同僚のボブに提案してみるよ。
どこだったか忘れたけどパスワードの変更が定期的に必要 & 過去に使用したパスワードは使えないというのがあって困った。
13:15 うーん少なくとも写真アップだと「誰に対して」その写真を表示すればいいのかを「事前(ログイン成立前)」に決めれない気がする。パスワ入力前に写真表示しちゃうと逆に攻撃者がアカウント名の総当たり攻撃を単純にやるだけで写真見れちゃうし。
確かに……。でも、サービス側を認証するアイデア自体は良さそうですよね。チャレンジ認証とか使えそうだけど考えたら色々問題もありそうだな…。
フィッシング想定だとメールに添付って感じっすかね
推しのVTuberが「あらゆるパスワードに誕生日を用いてるから誕生日を公開しない」と言ってて、身バレ防止とかじゃなく面白かった
お嬢様目指してる満天一般人さんですかね?あの方なら本行確認の写真に胃カメラ画像使用しそうだな
てか、誕生日って366通りしかないんだから、日本人でも単純計算で同じ誕生日の人は30万人ほどいるはずだから、身バレのしようがないと思うんだけど…
@@renk1310 ネット上のちょっとした振る舞いとかの情報であの人かな?となったところへ誕生日で確信を得るもしくは強めるみたいなパターンはいくらでもあると思うの
@@renk1310 2/29だったらどうか。想像力働かせようねぇ
@@ああ-o1g8h はいはい、訂正訂正(しといたよ)
なんやかんや持ってる国家資格「情報安全確保支援士」動画内での提案を実現するような仕組みに対する布石なんだろうか
「任意の文字列」と「サービス名のn文字目のアルファベットを一文字ずらしたもの」をいくつか組み合わせたものを使っているこれで(サービス名が変更しない限り)パスワードを使いまわしつつ覚えられる
無限の記憶力と情報収集能力が当たり前に求められる現社会、無理すぎて淘汰されるしかない
確かに公衆衛生と近いですね。特にターゲットの件を聞くと強くそう思います。
IPA(国際音声記号でなく、独立行政法人情報処理推進機構)が周知・啓蒙したり、情報処理安全確保支援士を普及させたりしようとしてるけど、まだまだ道半ばだなぁ。支援士もしばらく必置資格にはならなそうだし、法整備が無いままでは動きづらい印象。
デジタル庁じゃなくてデジタルセキュリティ庁を作れと主張している人がいました。ただ今の日本の行政も大企業もデジタルポンコツばかりらしいので…みずほ銀行とか
官公庁や企業がラインを使っている時点で駄目です。
15:47 二段階認証(ちなみに二要素認証のほうがより適切)の面倒くささ分かります!個人的には、スマホがパスワード代わりになる「パスキー」(Passkeys) によるパスワードレス認証が普及すると良いのですが。
何がなんかよくわからんうちに二段階認証になってた、という人が多いと思いますが、これからは何がなんかわからんうちにパスキー設定されてたという人が増えそう。パスキーの方がずっと簡便で強いと思いますが・・・
PSYCHO-PASSの話だ!っておもったらマイノリティ・リポートの話でした。ちくしょー!
犯罪係数測られちゃう!
マイノリティ・リポートは予知能力者の合議制で未然に防いでるからpsychopassの方がジャストの例ではある
やっぱり同じこと思った人はいましたかw
今更ながら、PSYCHO-PASSだ! と思っていたのでこのコメントに出会えてよかったです!
楽しみに待ってました
奇遇ですね、僕もです😊
ぼくも!
たのまち
証券会社勤務の人間です、パスワードと取引暗証番号が違うの訳分からん!ってお問い合わせは結構頂いているのですが、セキュリティを考えるとなかなか統一するのは難しい問題でして……本当に申し訳ない気持ちでいっぱいなんですが、むしろ何か解決策があれば教えて欲しいくらいです……
取引暗証番号の代わりに、ワンタイムパスワードか生体認証ですかねログイン時点か取引毎かはお好みで取引暗証番号って数字4桁とかチープなのが多いのはなんでだろう
2要素認証も気休め程度の予防策だと思うようになりました。SIMスワップでスマートフォン(というか回線ですかね)を乗っ取られた瞬間、「あれ、圏外になった」といぶかしんでいる間に証券会社や銀行口座から全額引き出されているのは悪夢ですよね
フィッシング詐欺に限定すると有効かも、という話ですね
そこそこ大手のIT企業にいます、近年webappネイティブapp共にリリース前、または定期的にセキュリティテストを置くことが増えてきています。ここで話してる行政的なものではないですが、事前チェックの必要性は浸透し始めてるのかもしれないですね。
パスワードの特定なんて桁が増えるほどめんどくさいんで、一切のルール無視してローマ字でいいから覚えやすい言葉でとにかく長くすることが一番な気がします。
従来の解決策はあまりに人間的制約を無視している、という主張、今まで何となく思っていた違和感をよくぞ言語化してくれた!という気持ちです
聞いてて心地良い相性良いし、お笑いコンビでも成功しそう
これってIDを入力だけで画像を取得できてしまうなら偽サイトが元サイトを参照して表示できるのでは…?
そうですよね。そしてその種の問題点を、簡単容易に解決する仕組みはまだ無く、実現するとしたら面倒な仕組みになるはずなので、結果二要素認証に落ち着くと思います。
@@gogogirl984 確かにそうですね、二要素認証はユーザー側が偽造できないのはもちろん、要素によってはサーバー側も偽造できないという点も重要だと感じますね。
サイトにログインするのに第一パスワード、写真を確認後、出金するのに第二パスワードでは如何。
ブラウザのパスワードマネージャに覚えさせるのがどのくらいリスクがあるのか、定期的変更はアカン、などもやってほしいです!
ブラウザに覚えさせたパスワードが漏洩するリスクよりも,ブラウザに覚えさせたパスワードが全部消える方のリスクのほうがむしろ怖い.定期的な変更を求められるパスワードに関しては,パスワード設定時点の西暦年をパスワードの後ろにつけることで対処可能だが,たんに面倒であるだけでなく,パスワード変更のときにキーボードをロギングされるリスクを考えると,定期的な変更の強制はむしろ害悪でしかない.
偽サイトがURLを偽造してきたとき、パスワードマネージャーは必ず反応しないので、異常に気づきやすくなります。人間が人力でURLをチェックして偽サイト詐欺を対策するよりは、パスワードマネージャーを使う方がリスクが低いという考え方もあるかと思います。
それにも問題があって,めったに使わないサイトの場合,パスワードをブラウザが覚えているのかどうかが自分自身にもわからない場合があります.
パスワード自体がもはや危ういような気がしています。本来、パスワードが他人に盗まれないように通信処理の中で暗号化が掛かるのですが、最近はパスワード自体を盗まず、「パスワードで認証成功した手段と結果」を暗号化が解読されないまままるっと盗むケースがあったらしいのです。やってることは脳筋なのに、マンガの異能バトルで終盤に出てきそうな、メタ読み系の異能が出てきて「え?どうすりゃ勝てるの?」とちょっとした絶望感を覚えましたね。
失敗への制裁を強めにすると人は隠蔽し始めるからなあ
水野さんの名古屋弁からしか得られない栄養がある
セキュリティはサイバーハイジーンという手法、考え方が大事とされていますね
昨日マイノリティリポートを観た所になんてタイムリーな動画…!パスワードは面倒臭くなって全部同じにしてしまっていますが、使い分けが重要なんですね~。
セキュリティにおいて日本語には圧倒的なメリットがあります。日本語のローマ字表記は非日本語圏には意味ある文字としての理解が難しいのです。日本語をローマ字表記にして少しいじるだけで覚えやすいのに複雑なパスワードが簡単に生成できます。
ペネトレーションサービスを業務としてやっている会社はあるけど、それを行政がやろうとすると難しいのは法律だろうか。簡単に言えばチェックのために攻撃を仕掛けるのが是か否か。専門知識を有するマンパワーもいる。ある程度自動化も出来るだろうが、不測の事態の責任は取れない。データ全部消えちゃいました、とか。
12:55その作りだとID入れただけで交換した画像が詐欺師に見えちゃうから逆効果です。
25:18 外注も可哀想だなー。このように外注だからといって作業環境の精度を社内より下げるのはトータルで製品の品質を下げる結果になるからヤメタほうがいいと感じてます。いわば偽のコスト削減。
33:02 リスク評価で真っ先に引っかかるであろうnoteを巧みに隠蔽する堀元氏
最近責められるデータ漏洩って会社のPCを酔って落としたとかの事例が多くて、社会としてある程度理解はされつつあると思うな。
セキュリティ所があるせいでイノベーション起こらなそうだからつくらない派閥です。サイバー犯罪対策課がハッキングしまくってサーバーをダウンさせまくったらそれに対応するためにセキュリティレベル上がりそう
データセキュリティ法の迷走取り上げてくださるなんて。。。職業柄個人情報保護法かじっていて、委託先に情報セキュリティにかかるチェックリストを提出させていますが、前年度のものをそのまま提出し(法改正で内容変わったことを周知したうえでも)、かつ我々もコミュニケーションが億劫で適当にヒアリングして受け入れてしまうことがままある(当局に疎明できればよいので…)ので、痛いところをつかれてしまいました。
最近では、 サイバー・ハイジーン / サイバー衛生 / サイバー公衆衛生 や オフェンシブ・セキュリティ という概念があります。また、サイバーセキュリティ遵守に(全業態で直接的に)関する法律は現状ありません。ガイドライン等による自己評価に留まりますね。(個人情報保護法や犯罪収益移転防止法くらいでしょうか)で、二段階認証 は 二要素認証 と表現した方が良いかと思います。
労基や保健所があっても被害はなくならないけどまぁ「多少はマシになる」ってことなんだろうけど。「多少はマシになる」が情報セキュリティにとって有効かどうかですかね。
11:48 私は「それPSYCHO-PASSやないかい」でした。笑
私のパスワードは好きなバンドの解散日と推しの会社の旧社名と新社名です。
メールやプロキシなど電気通信の仲介をする場合は電気通信事業者の登録があるけど、あれはどちらかというとセキュリティというよりは設備、インフラ関係の制約だからなあ
4:04 Probrem exists between chair and konnpyuta
2段階認証はパスワード破られてもなんとかなるからありがたい
パスキーは端末のパスワードと生体認証で覚える必要もないし、盗まれる可能性もまだ低いから、現実的な解として十分ありだなぁ指紋盗まれる、顔認証の誤りリスクがどの程度かは気になるけど
セキュリティ所というより、会社の監査する際にセキュリティの項目入れればいいのでは?
28:26 保健所かぁ…。システム作る側は中身の事情を見せたがらなそうだし、レビューする保健所側も担当者の数/質が確保できなさそう。AI化しても十分に学習するまで時間かかりそうだし、その保健所AI「が」漏洩したらと思うと…。あとITは保健所の指導が時代遅れになりやすそう。あとbusinessじゃない場合をどうするか…
セキュリティ所なんてデジタル庁のあり様を見たら人材的に無理でしょ未だに自動車とか重厚長大に手厚い政治家はそんな決断できない
自分は重要度によって、何段階かに分けてますね。
少年課の補導室で反省文を書いたことがあるおじさん
スノーデン氏のセキュリティ対策ツイートで笑った記憶があるスマホはgraphen一択pcはcubeosとtailsの両刀ブラウザはtor業務効率悪そうだなと思った
Nisa やるぞー!と 意気込んで手続きしたけど、パスワード もう分からず。 右肩上がりの経済のグラフ見つめながら、参加できずに泣いてます。
同じ人いて笑う。笑笑口座開設までしたのに、パスワードとか心理的ハードルが高くて挫折する。
フィッシング詐欺はghotiing詐欺という理解で合っているでしょうか?
保健所のような政府が指導するようになるとまた既得権益が蔓延って現実世界のにのまえになるので反対だな~保険屋とかがやればいいんじゃない?
パスワードというとソースは眉唾な話だけど、セキュリティリスクがある4桁パスワードワーストになぜか日本だけランダムな数字があって話題になったらしい(某押井アニメのキーワードなのでみる人が見ると秒で察するとか)ここの中にも使ってる人がいるんじゃないですか?
積読チャンネルじゃないのに積読を増やさせないでくれ
クソ分かる
金が関わるところはなるだけMFAを入れ、MFA を使えないところは、そこ専用のプリペイドを使うことを薦める。
31:26 ザッカーバーグ超えの堀元さん
ほりもとさんが言ってる写真で銀行認証するの、本っ当にいいと思った。あと、ハッシュ関数の話も面白かった。不可逆の変換なんて出来るの?って思うので調べてみる。
オラのパスワードは、とある映画の中でパスワードとして使われてたやつをそのまま使ってます。今まで一度も破られたことないので助かってます。
私の暗証番号はサイコロ振って決めてます。わからなくなったら?もう一度降れば大丈夫。
オラのパスワードは誕生日です。今まで破られてないので助かってます。誕生日と云うのは嘘です。
わーい。水野さんの名古屋弁回だ✨
堀元さんの反省文、扱いとしては公文書になってずっと保存されたりするんかな?w
反省文って言うと面白ワードになりますが遅延理由書ですかね?届出や申請が遅れたら添付するよう求められるやつです。年間10件くらいは「提出期限過ぎてるので遅延理由書もください」って言ってます。はよ出せや。
誕生日すらまともに覚えられない記憶力弱者なのでパスワードが大量に必要な文化で詰みかけます...
常にグーグルにログイン状態でChromeわ使いましょう
自分は、ある文字列を入れ替えたり、文字種を変更したりする自分なりのややこしい規則を作って、それだけ覚えてるあとは、「ペットの名前+webサービス名」に対してその規則を適用して、パスワードにしてる十分複雑で、忘れても割とすぐ復元できる定期的に変更を強いられると訳わかんなくなるけどね……
こういう風にパスワードのヒント教えてくれる人いるよね1コマ漫画と同じ
@@セイゲドン人に教えるときは「ペットの名前」の部分を変えます笑なんなら実際にはペットの名前じゃないしね
@@セイゲドンここにヒント書いたところで何にもならんやろ😅1コマ漫画とは訳が違う😂
アナログで馬鹿みたいだなぁと感じていた事例が続々出てきて感動するとともに、そのいずれもが個人の努力や一企業の技術力では解消しえない問題であったという事実に深い落胆を禁じ得ない。ただし補導室で感想文だけはローテク時代遅れおじさん感過ぎて許せん。
水野さんが言語学に特化した人間で面白いですwww😊
その監査制度、プライバシーの頭文字を取って「Pマーク制度」という名前はどうでしょうか大手との取引や入札の必須条件にすればみんな取得するし、Pマークコンサルなど周辺事業も創出できていい事ずくめですね
最近のゆるコンピュータ科学ラジオ、おもろい
堀元さんや水野さんが普段どれくらいの総数パスワード管理されててそのうちどれくらい記憶しているかってことも今回の話の中ではある程度は知りたかったなw
事前チェックというと、ISMS認証とかPマーク認証とかあるけど、任意だからなー
セキュリティ所あると良いけど、本社、サーバーが海外だとチェックされなかったりしそう。
ログイン前に写真表示は、リレー攻撃(ユーザが偽サイトに入力したアカウント名を、裏で本物サイトに送って写真を取りよせる)でダメなのでは。
12:07ID入力時に写真で本行認証→ID総当たりで事前に組み合わせが割れてしまうID+パスワードでログイン後に写真で本行認証→ログイン先が偽サイトだったら画像が違っていようが情報抜かれてるので手遅れサービス側を認証したいけど、適切な認証のタイミングが存在しないのが切ないですねやはり二要素認証 or パスキー(スマホが認証キーになる)が関の山なんでしょうか
そもそも「盗みを企む人が面倒くさがるようなことは善良なユーザーにとっても面倒」な場合が多いのが辛いっすね…RSAくらいのブレイクスルーがないと厳しいのかも
パスワードを定期的に変更させるのやめろ警察「パスワードを定期的に変更させるのやめろ👮」(お陰で、キーボードを上下左右に連続して押すパスワードが…)
他にもパスワード使い回しやめろ警察がある
4:24 Problem Exists Between Chair and Microphone...
セキュリティ所は税務署みたいに申告もさせつつ、ランダムに最低限の攻撃を仕掛け守れなかった場合に罰金するのはどうだろ
13:02 自分の送った写真で確認する。これやってるところは見た事ないけど似たような事で三井住友カードのメールにはニックネームをつけられるので、「山田 太郎 様」って来るところを「ようつべ 様」みたいに明らかに自分の設定した宛名で来てるな、と判断できるサービスあるの思い出した
23:32何年か前にエクアドルの全国民の個人情報が流出した事件あったよなあと思って調べたら、それでも2000万人だったアメリカの規模ってすごい
エクアドル政府がアメリカの企業に委託していたってこと?
”反省文” にすると、警察の仕事は増えるのか/減るのか、どちらの目論見なのだろう。
確かに…なんせ、もう堀本さんがマッチングサービス開設する可能性は低そうですし。
方向性は違うけど、今その保健所に当たるもので一番近いのが、アプリとかのプラットフォームの審査だよなぁ
マイノリティリポートを映画じゃなくてF・K・ディックの名前で出すの良いっすねえ。映画も最高ですけんど。
本行確認の写真の例だけど、IDを入れたら自分が提出した写真が出てきて「お、ちゃんと本行だな」ってわかるってことだけど、だったらフィッシングサイト側がいろんなIDをひたすら入れて写真を収集して偽サイト側がより強くなるだけでは?
マイナンバーカード作る時にパスワードを3つも設定させられるのに閉口した。 実際使うときは1個しか要らないのに!それを使ってe-Taxで確定申告をするのにもウンザリしました。 手順が煩雑すぎるし、説明もわかりにくいし、UIも首を傾げざるを得ない部分があり何時間も試行錯誤させられた。来年もまたUI変わって同じく試行錯誤やらされるんだろうなー。お役所仕事ってさー・・・たとえ「ITビジネスセキュリティ保健所」みたいなものが出来ても、とんでもない問題が頻発するだろうなあ
こないだ受け取ったばかりだが、数字のパスワードは1つ分しか設定できなかった。他の3つの欄は読み取り専用でカーソルが当てられなかった。逆に4つ違うものにする場合どうすれば良かったのだろうか?
えー?自分の行った役所では4つあるパスワードの一つは必ず違うものであとの3つは同じでもいいですよーって言われた
飲み会行くんじゃねぇよって言われてて飲み会行ってコロナ食らってる奴が叩かれてたように思える個人の問題では?
Happy Birth Day To Youみたいな覚えやすい任意の文からHBDTYを取り出してHBDTY+サービス名(例:youtube)とかにするとサービスごとにパスワードが変わる上に覚えやすくて良い。数字とか記号必須の場合はHB0TYみたいに変えて、変える位置と文字は固定にしておく。
サイト名、URL、ユーザ名、パスワードを一括で記しておけるパスワード管理帳が100均で売られてのを見つけて苦笑しちゃった
【『データセキュリティ法の迷走』購入はこちら!】
・VALUE BOOKS → www.valuebooks.jp/bp/VS0088528762
・Amazon → amzn.to/49TxQ1f
※VALUE BOOKSで買ってもらえると我々に書店利益が入るので大喜びします。
「杉並警察署少年課補導室で反省文を書く衒学家インターネット芸人31歳」という文字列、最高すぎるのでパスワードに使おうと思います
文章をパスワードにする戦法は、覚えやすいしセキュリティ的にもバッチリ
少年課が
shounenka
syounenka
shounennka
syounennka
などで揺れるのは個人の癖を固定化すればおk
PEBCAK見つけた
内容的にパスワードになりますが、堀元さんのユーザーIDにして欲しいですね
スペシャルキャラクターがたりないです。
@@muhrizqiardisugin@m!keisatsushoshounenk@とか
パスワードを使い回さないようにしたら自分すらログインできない最強のセキュリティが完成してしまったことがある
わっかるぅー!
だからこそGoogleやAppleの「同じパスワードが使用されています」という警告文はいらない
セキュリティ所の難しいところは、サーバー構成や設計書なども見ないと判断できない事ですね。外部の人に見せること自体がセキュリティリスクになってしまいます。
セキュリティテストの様に外部から攻撃して検証する手段もありますが、Twitter 社がログにパスワードを平文で保存していた事件(実は Twitter 社もやらかしてます)などは、発見が非常に困難です。
近年、政府系の事業を請け負う場合「情報処理安全確保支援士がいること」という条件が増えてきています。
大手はそれでよいのですが、問題になるのは中小企業や個人が立ち上げた WEB サービスですね。
国が認定しているセキュリティ認証マークはいくつかありますが、WEB サービスに特化したものは、まだなかった気がします。(未調査)
10年位前に、Googleが、oauthを標準化した。
デジタルセキュリティ所。
wedサービスを始めるに当たっては越えなきゃいけないって事で、現代のセキ所って事ですねっ
個人的に座布団差し上げます😂
4:00 えと、会社の隣の席のITのおじさまに、自分のパスワードがいかに素晴らしいか、教えてもらったことがあります。😂
公衆衛生に似ているという発想はなかったです。目から鱗でした
おそらく水野さんは「アラートが出すぎると人はアラートを気にしなくなる」という話題をゆるコンピュータ科学ラジオで扱ったことを忘れている
4:29 Problem between chair and book
googleやTwitterと紐づけてアカウント登録するやつ、どれと紐づけたのか分からなくなる
一部のパスワード管理ソフトではそういうのも管理できます!
さすが堀元さん、常人では体験できないエビソードを持ってる
🦐⚔️
『何か起きたらマズイ』みたいな法律ってだいたい何か起きてからできるよね…
何か起きる前に法律作るのって実は不可能なんですよね。不可能ったらあれですけど、想定しないところを縛ってしまって天下の悪法が爆誕する危険があったりします。やれるのは独裁国家ならワンチャンあるかなぐらいです。
法が先行すると警察国家だと批判する輩が出てくる
@@早川眠人
せちがらい…
マニュアルは血で書かれている。
生存バイアス
パスワードの定期的変更を求めたり、最大文字数が8文字だったりするサイトを行政に通報できる仕組みがほしいなぁ。今かなりの銀行がちゃんとやれていないもの
あと記号が使えないのも滅んでくれと思う
ASCII印字可能文字の範囲なら自由に使わせてほしい
誰でも思うそんな重要なことを変更できないくらい、社内でちゃんとしたコミュニケーションがとれない会社なのかなと邪推しちゃう
こういう「行政が事前に監査する」って発想、逆張り芸人なら「テクノロジーはどんな思想にも縛られない、自由な存在であるべきだ!」みたいなこと言ってすげえ反発しそう
20:49
水野さん「are」
なんか、herに聞こえなくもないですね。文脈によってどっちにも聞こえそうな感じ
水野さんのパスワードは
Daikon + 生年月日
とかであってほしい
パスワードを覚えられない問題、PCに付箋でパスワードを貼っておくのはどうだろうか?
なるほど~ その手法は斬新だね。悩んでいる同僚のボブに提案してみるよ。
どこだったか忘れたけど
パスワードの変更が定期的に必要 & 過去に使用したパスワードは使えない
というのがあって困った。
13:15 うーん少なくとも写真アップだと「誰に対して」その写真を表示すればいいのかを「事前(ログイン成立前)」に決めれない気がする。パスワ入力前に写真表示しちゃうと逆に攻撃者がアカウント名の総当たり攻撃を単純にやるだけで写真見れちゃうし。
確かに……。でも、サービス側を認証するアイデア自体は良さそうですよね。チャレンジ認証とか使えそうだけど考えたら色々問題もありそうだな…。
フィッシング想定だとメールに添付って感じっすかね
推しのVTuberが「あらゆるパスワードに誕生日を用いてるから誕生日を公開しない」と言ってて、身バレ防止とかじゃなく面白かった
お嬢様目指してる満天一般人さんですかね?あの方なら本行確認の写真に胃カメラ画像使用しそうだな
てか、誕生日って366通りしかないんだから、日本人でも単純計算で同じ誕生日の人は30万人ほどいるはずだから、身バレのしようがないと思うんだけど…
@@renk1310 ネット上のちょっとした振る舞いとかの情報であの人かな?となったところへ誕生日で確信を得るもしくは強めるみたいなパターンはいくらでもあると思うの
@@renk1310 2/29だったらどうか。想像力働かせようねぇ
@@ああ-o1g8h はいはい、訂正訂正(しといたよ)
なんやかんや持ってる国家資格「情報安全確保支援士」
動画内での提案を実現するような仕組みに対する布石なんだろうか
「任意の文字列」と「サービス名のn文字目のアルファベットを一文字ずらしたもの」をいくつか組み合わせたものを使っている
これで(サービス名が変更しない限り)パスワードを使いまわしつつ覚えられる
無限の記憶力と情報収集能力が当たり前に求められる現社会、無理すぎて淘汰されるしかない
確かに公衆衛生と近いですね。特にターゲットの件を聞くと強くそう思います。
IPA(国際音声記号でなく、独立行政法人情報処理推進機構)が周知・啓蒙したり、情報処理安全確保支援士を普及させたりしようとしてるけど、まだまだ道半ばだなぁ。支援士もしばらく必置資格にはならなそうだし、法整備が無いままでは動きづらい印象。
デジタル庁じゃなくてデジタルセキュリティ庁を作れと主張している人がいました。
ただ今の日本の行政も大企業もデジタルポンコツばかりらしいので…みずほ銀行とか
官公庁や企業がラインを使っている時点で駄目です。
15:47 二段階認証(ちなみに二要素認証のほうがより適切)の面倒くささ分かります!
個人的には、スマホがパスワード代わりになる「パスキー」(Passkeys) によるパスワードレス認証が普及すると良いのですが。
何がなんかよくわからんうちに二段階認証になってた、という人が多いと思いますが、これからは何がなんかわからんうちにパスキー設定されてたという人が増えそう。
パスキーの方がずっと簡便で強いと思いますが・・・
PSYCHO-PASSの話だ!っておもったらマイノリティ・リポートの話でした。ちくしょー!
犯罪係数測られちゃう!
マイノリティ・リポートは予知能力者の合議制で未然に防いでるからpsychopassの方がジャストの例ではある
やっぱり同じこと思った人はいましたかw
今更ながら、PSYCHO-PASSだ! と思っていたのでこのコメントに出会えてよかったです!
楽しみに待ってました
奇遇ですね、僕もです😊
ぼくも!
たのまち
証券会社勤務の人間です、パスワードと取引暗証番号が違うの訳分からん!ってお問い合わせは結構頂いているのですが、セキュリティを考えるとなかなか統一するのは難しい問題でして……本当に申し訳ない気持ちでいっぱいなんですが、むしろ何か解決策があれば教えて欲しいくらいです……
取引暗証番号の代わりに、ワンタイムパスワードか生体認証ですかね
ログイン時点か取引毎かはお好みで
取引暗証番号って数字4桁とかチープなのが多いのはなんでだろう
2要素認証も気休め程度の予防策だと思うようになりました。
SIMスワップでスマートフォン(というか回線ですかね)を乗っ取られた瞬間、
「あれ、圏外になった」といぶかしんでいる間に証券会社や銀行口座から全額引き出されているのは悪夢ですよね
フィッシング詐欺に限定すると有効かも、という話ですね
そこそこ大手のIT企業にいます、近年webappネイティブapp共にリリース前、または定期的にセキュリティテストを置くことが増えてきています。ここで話してる行政的なものではないですが、事前チェックの必要性は浸透し始めてるのかもしれないですね。
パスワードの特定なんて桁が増えるほどめんどくさいんで、
一切のルール無視してローマ字でいいから覚えやすい言葉でとにかく長くすることが一番な気がします。
従来の解決策はあまりに人間的制約を無視している、という主張、今まで何となく思っていた違和感をよくぞ言語化してくれた!という気持ちです
聞いてて心地良い
相性良いし、お笑いコンビでも成功しそう
これってIDを入力だけで画像を取得できてしまうなら偽サイトが元サイトを参照して表示できるのでは…?
そうですよね。
そしてその種の問題点を、簡単容易に解決する仕組みはまだ無く、実現するとしたら面倒な仕組みになるはずなので、結果二要素認証に落ち着くと思います。
@@gogogirl984
確かにそうですね、二要素認証はユーザー側が偽造できないのはもちろん、
要素によってはサーバー側も偽造できないという点も重要だと感じますね。
サイトにログインするのに第一パスワード、写真を確認後、出金するのに第二パスワードでは如何。
ブラウザのパスワードマネージャに覚えさせるのがどのくらいリスクがあるのか、定期的変更はアカン、などもやってほしいです!
ブラウザに覚えさせたパスワードが漏洩するリスクよりも,ブラウザに覚えさせたパスワードが全部消える方のリスクのほうがむしろ怖い.
定期的な変更を求められるパスワードに関しては,パスワード設定時点の西暦年をパスワードの後ろにつけることで対処可能だが,たんに面倒であるだけでなく,パスワード変更のときにキーボードをロギングされるリスクを考えると,定期的な変更の強制はむしろ害悪でしかない.
偽サイトがURLを偽造してきたとき、パスワードマネージャーは必ず反応しないので、異常に気づきやすくなります。
人間が人力でURLをチェックして偽サイト詐欺を対策するよりは、パスワードマネージャーを使う方がリスクが低いという考え方もあるかと思います。
それにも問題があって,めったに使わないサイトの場合,パスワードをブラウザが覚えているのかどうかが自分自身にもわからない場合があります.
パスワード自体がもはや危ういような気がしています。
本来、パスワードが他人に盗まれないように通信処理の中で暗号化が掛かるのですが、
最近はパスワード自体を盗まず、「パスワードで認証成功した手段と結果」を暗号化が解読されないまままるっと盗むケースがあったらしいのです。
やってることは脳筋なのに、マンガの異能バトルで終盤に出てきそうな、メタ読み系の異能が出てきて「え?どうすりゃ勝てるの?」とちょっとした絶望感を覚えましたね。
失敗への制裁を強めにすると人は隠蔽し始めるからなあ
水野さんの名古屋弁からしか得られない栄養がある
セキュリティはサイバーハイジーンという手法、考え方が大事とされていますね
昨日マイノリティリポートを観た所になんてタイムリーな動画…!
パスワードは面倒臭くなって全部同じにしてしまっていますが、使い分けが重要なんですね~。
セキュリティにおいて日本語には圧倒的なメリットがあります。日本語のローマ字表記は非日本語圏には意味ある文字としての理解が難しいのです。
日本語をローマ字表記にして少しいじるだけで覚えやすいのに複雑なパスワードが簡単に生成できます。
ペネトレーションサービスを業務としてやっている会社はあるけど、それを行政がやろうとすると難しいのは法律だろうか。簡単に言えばチェックのために攻撃を仕掛けるのが是か否か。専門知識を有するマンパワーもいる。ある程度自動化も出来るだろうが、不測の事態の責任は取れない。データ全部消えちゃいました、とか。
12:55
その作りだとID入れただけで交換した画像が詐欺師に見えちゃうから逆効果です。
25:18 外注も可哀想だなー。このように外注だからといって作業環境の精度を社内より下げるのはトータルで製品の品質を下げる結果になるからヤメタほうがいいと感じてます。いわば偽のコスト削減。
33:02 リスク評価で真っ先に引っかかるであろうnoteを巧みに隠蔽する堀元氏
最近責められるデータ漏洩って会社のPCを酔って落としたとかの事例が多くて、社会としてある程度理解はされつつあると思うな。
セキュリティ所があるせいでイノベーション起こらなそうだからつくらない派閥です。
サイバー犯罪対策課がハッキングしまくってサーバーをダウンさせまくったらそれに対応するためにセキュリティレベル上がりそう
データセキュリティ法の迷走取り上げてくださるなんて。。。
職業柄個人情報保護法かじっていて、委託先に情報セキュリティにかかるチェックリストを提出させていますが、前年度のものをそのまま提出し(法改正で内容変わったことを周知したうえでも)、かつ我々もコミュニケーションが億劫で適当にヒアリングして受け入れてしまうことがままある(当局に疎明できればよいので…)ので、痛いところをつかれてしまいました。
最近では、 サイバー・ハイジーン / サイバー衛生 / サイバー公衆衛生 や オフェンシブ・セキュリティ という概念があります。
また、サイバーセキュリティ遵守に(全業態で直接的に)関する法律は現状ありません。ガイドライン等による自己評価に留まりますね。(個人情報保護法や犯罪収益移転防止法くらいでしょうか)
で、二段階認証 は 二要素認証 と表現した方が良いかと思います。
労基や保健所があっても被害はなくならないけどまぁ「多少はマシになる」ってことなんだろうけど。「多少はマシになる」が情報セキュリティにとって有効かどうかですかね。
11:48 私は「それPSYCHO-PASSやないかい」でした。笑
私のパスワードは好きなバンドの解散日と推しの会社の旧社名と新社名です。
メールやプロキシなど電気通信の仲介をする場合は電気通信事業者の登録があるけど、あれはどちらかというとセキュリティというよりは設備、インフラ関係の制約だからなあ
4:04 Probrem exists between chair and konnpyuta
2段階認証はパスワード破られてもなんとかなるからありがたい
パスキーは端末のパスワードと生体認証で覚える必要もないし、盗まれる可能性もまだ低いから、現実的な解として十分ありだなぁ
指紋盗まれる、顔認証の誤りリスクがどの程度かは気になるけど
セキュリティ所というより、
会社の監査する際にセキュリティの
項目入れればいいのでは?
28:26 保健所かぁ…。システム作る側は中身の事情を見せたがらなそうだし、レビューする保健所側も担当者の数/質が確保できなさそう。AI化しても十分に学習するまで時間かかりそうだし、その保健所AI「が」漏洩したらと思うと…。あとITは保健所の指導が時代遅れになりやすそう。あとbusinessじゃない場合をどうするか…
セキュリティ所なんてデジタル庁のあり様を見たら人材的に無理でしょ
未だに自動車とか重厚長大に手厚い政治家はそんな決断できない
自分は重要度によって、何段階かに分けてますね。
少年課の補導室で反省文を書いたことがあるおじさん
スノーデン氏のセキュリティ対策ツイートで笑った記憶がある
スマホはgraphen一択
pcはcubeosとtailsの両刀
ブラウザはtor
業務効率悪そうだなと思った
Nisa やるぞー!と 意気込んで手続きしたけど、パスワード もう分からず。 右肩上がりの経済のグラフ見つめながら、参加できずに泣いてます。
同じ人いて笑う。笑笑
口座開設までしたのに、パスワードとか心理的ハードルが高くて挫折する。
フィッシング詐欺はghotiing詐欺という理解で合っているでしょうか?
保健所のような政府が指導するようになるとまた既得権益が蔓延って現実世界のにのまえになるので反対だな~
保険屋とかがやればいいんじゃない?
パスワードというとソースは眉唾な話だけど、セキュリティリスクがある4桁パスワードワーストになぜか日本だけランダムな数字があって話題になったらしい(某押井アニメのキーワードなのでみる人が見ると秒で察するとか)
ここの中にも使ってる人がいるんじゃないですか?
積読チャンネルじゃないのに積読を増やさせないでくれ
クソ分かる
金が関わるところはなるだけMFAを入れ、MFA を使えないところは、そこ専用のプリペイドを使うことを薦める。
31:26 ザッカーバーグ超えの堀元さん
ほりもとさんが言ってる写真で銀行認証するの、本っ当にいいと思った。
あと、ハッシュ関数の話も面白かった。不可逆の変換なんて出来るの?って思うので調べてみる。
オラのパスワードは、とある映画の中でパスワードとして使われてたやつをそのまま使ってます。
今まで一度も破られたことないので助かってます。
私の暗証番号はサイコロ振って決めてます。わからなくなったら?もう一度降れば大丈夫。
オラのパスワードは誕生日です。今まで破られてないので助かってます。
誕生日と云うのは嘘です。
わーい。水野さんの名古屋弁回だ✨
堀元さんの反省文、扱いとしては公文書になってずっと保存されたりするんかな?w
反省文って言うと面白ワードになりますが遅延理由書ですかね?
届出や申請が遅れたら添付するよう求められるやつです。
年間10件くらいは「提出期限過ぎてるので遅延理由書もください」って言ってます。はよ出せや。
誕生日すらまともに覚えられない記憶力弱者なのでパスワードが大量に必要な文化で詰みかけます...
常にグーグルにログイン状態でChromeわ使いましょう
自分は、ある文字列を入れ替えたり、文字種を変更したりする自分なりのややこしい規則を作って、それだけ覚えてる
あとは、「ペットの名前+webサービス名」に対してその規則を適用して、パスワードにしてる
十分複雑で、忘れても割とすぐ復元できる
定期的に変更を強いられると訳わかんなくなるけどね……
こういう風にパスワードのヒント教えてくれる人いるよね
1コマ漫画と同じ
@@セイゲドン人に教えるときは「ペットの名前」の部分を変えます笑
なんなら実際にはペットの名前じゃないしね
@@セイゲドン
ここにヒント書いたところで何にもならんやろ😅
1コマ漫画とは訳が違う😂
アナログで馬鹿みたいだなぁと感じていた事例が続々出てきて感動するとともに、そのいずれもが個人の努力や一企業の技術力では解消しえない問題であったという事実に深い落胆を禁じ得ない。ただし補導室で感想文だけはローテク時代遅れおじさん感過ぎて許せん。
水野さんが言語学に特化した人間で面白いですwww😊
その監査制度、プライバシーの頭文字を取って「Pマーク制度」という名前はどうでしょうか
大手との取引や入札の必須条件にすればみんな取得するし、Pマークコンサルなど周辺事業も創出できていい事ずくめですね
最近のゆるコンピュータ科学ラジオ、おもろい
堀元さんや水野さんが普段どれくらいの総数パスワード管理されててそのうちどれくらい記憶しているかってことも今回の話の中ではある程度は知りたかったなw
事前チェックというと、ISMS認証とかPマーク認証とかあるけど、任意だからなー
セキュリティ所あると良いけど、本社、サーバーが海外だとチェックされなかったりしそう。
ログイン前に写真表示は、リレー攻撃(ユーザが偽サイトに入力したアカウント名を、裏で本物サイトに送って写真を取りよせる)でダメなのでは。
12:07
ID入力時に写真で本行認証→ID総当たりで事前に組み合わせが割れてしまう
ID+パスワードでログイン後に写真で本行認証→ログイン先が偽サイトだったら画像が違っていようが情報抜かれてるので手遅れ
サービス側を認証したいけど、適切な認証のタイミングが存在しないのが切ないですね
やはり二要素認証 or パスキー(スマホが認証キーになる)が関の山なんでしょうか
そもそも「盗みを企む人が面倒くさがるようなことは善良なユーザーにとっても面倒」な場合が多いのが辛いっすね…
RSAくらいのブレイクスルーがないと厳しいのかも
パスワードを定期的に変更させるのやめろ警察「パスワードを定期的に変更させるのやめろ👮」
(お陰で、キーボードを上下左右に連続して押すパスワードが…)
他にもパスワード使い回しやめろ警察がある
4:24 Problem Exists Between Chair and Microphone...
セキュリティ所は税務署みたいに申告もさせつつ、ランダムに最低限の攻撃を仕掛け守れなかった場合に罰金するのはどうだろ
13:02 自分の送った写真で確認する。
これやってるところは見た事ないけど似たような事で三井住友カードのメールにはニックネームをつけられるので、「山田 太郎 様」って来るところを「ようつべ 様」みたいに明らかに自分の設定した宛名で来てるな、と判断できるサービスあるの思い出した
23:32
何年か前にエクアドルの全国民の個人情報が流出した事件あったよなあと思って調べたら、それでも2000万人だった
アメリカの規模ってすごい
エクアドル政府がアメリカの企業に委託していたってこと?
”反省文” にすると、警察の仕事は増えるのか/減るのか、どちらの目論見なのだろう。
確かに…
なんせ、もう堀本さんがマッチングサービス開設する可能性は低そうですし。
方向性は違うけど、今その保健所に当たるもので一番近いのが、アプリとかのプラットフォームの審査だよなぁ
マイノリティリポートを映画じゃなくてF・K・ディックの名前で出すの良いっすねえ。
映画も最高ですけんど。
本行確認の写真の例だけど、IDを入れたら自分が提出した写真が出てきて「お、ちゃんと本行だな」ってわかるってことだけど、だったらフィッシングサイト側がいろんなIDをひたすら入れて写真を収集して偽サイト側がより強くなるだけでは?
マイナンバーカード作る時にパスワードを3つも設定させられるのに閉口した。 実際使うときは1個しか要らないのに!
それを使ってe-Taxで確定申告をするのにもウンザリしました。 手順が煩雑すぎるし、説明もわかりにくいし、UIも首を傾げざるを得ない部分があり
何時間も試行錯誤させられた。来年もまたUI変わって同じく試行錯誤やらされるんだろうなー。
お役所仕事ってさー・・・
たとえ「ITビジネスセキュリティ保健所」みたいなものが出来ても、とんでもない問題が頻発するだろうなあ
こないだ受け取ったばかりだが、数字のパスワードは1つ分しか設定できなかった。他の3つの欄は読み取り専用でカーソルが当てられなかった。逆に4つ違うものにする場合どうすれば良かったのだろうか?
えー?自分の行った役所では4つあるパスワードの一つは必ず違うものであとの3つは同じでもいいですよーって言われた
飲み会行くんじゃねぇよって言われてて
飲み会行ってコロナ食らってる奴が叩かれてたように思える
個人の問題では?
Happy Birth Day To You
みたいな覚えやすい任意の文から
HBDTYを取り出して
HBDTY+サービス名(例:youtube)とかにするとサービスごとにパスワードが変わる上に覚えやすくて良い。
数字とか記号必須の場合はHB0TYみたいに変えて、変える位置と文字は固定にしておく。
サイト名、URL、ユーザ名、パスワードを
一括で記しておけるパスワード管理帳が
100均で売られてのを見つけて苦笑しちゃった