セキュリティの都市伝説を暴く

イベント名: セキュリティとUXの◯◯な関係 講演タイトル: セキュリティの都市伝説を暴く 2017年6月9日 ヤフー株式会社 コワーキングスペース LODGE https://connpass.com/event/55559/

[tmtms]

この前 autocomplete=off をつけろって言われんで、「最近だともう意味なくない？」って言ったら「古いブラウザを使ってる場合もあるので」って言われた。なんじゃそりゃ。そっちの方が脆弱だろ。

[FirstMate]

「メールの添付ファイルのパスワードを別のメールで送信する」という謎のおまじないについても触れてくれ

[ockeghem]

資料公開しました #securityux

[tengo1985]

パスワードの変更で、モバイルの場合は二回目のペーストを許さないサイト、アプリがある。パスワードマネージャーの自動生成パスワードとの相性が最悪だから即刻やめてほしい。

[csouls]

セキュリティ対策効果が低く、利便性を大きく落としている事例について、もっと議論が進むといいな

[criticabug]

AndroidアプリUSBデバッグ禁止も。オン時に動作しない仕様を「アプリ改ざん防止などのセキュリティのため」と説明されたけど意味ない

[t-tanaka]

パスワードのマスクは絶対必要。多くのブラウザでは記臆されたパスワードが自動入力される。ログイン画面だしただけでパスワード公開とか怖すぎるにもほどがある。

[atm_09_td]

以前の常識が、今の非常識になったりするから、継続して学習しておかないとな。

[karupanerura]

良い

[sekaiiti]

「メールの添付ファイルのパスワードを別のメールで送信する」の謎プロトコルはセキュリティとしては意味ないけど、宛先誤送信時の漏洩リスクは下げられる。自動的にパスワード送るシステムとか使うと意味ないけど。

[teppeis]

ID/パスワード周りの定説を再検証

[enemyoffreedom]

「意識高い人が自主的にパスワードを定期的に変更するのは勝手にやればよいが、サイト側で強制するのは推奨されない」

[tinsep19]

autocompleteが効かない実装があるなんて。。。パスワードマスクは確かにスクショ/キャスト考えるとちと大変だな。IE方式よいってのがわかった。

[bleu-bleut]

パスワード一時表示ボタン（IE方式）いいよね / IDが公開されてても「IDもしくはPWが〜」て有効？ / PWは定期的に変更？ / PWのautocompleteはoffにできない / 「戻る」ボタンの禁止について。

[tmatsuu]

「パスワードを隠すのをやめよう」は言葉が独り歩きしそうでよくないと個人的には思う。IE方式は自分も好き。みんなIE使えばいい。戻る禁止は常にワンタイムトークンを使えという要求仕様から生まれた副作用だと思う

[mixvox-j]

「だからお前らはセキュリティ屋に騙されるんだよ！」って某セキュリティ業界の重鎮が言っているのを聞いたような事案が結構ある

[higher_tomorrow]

さぼらずに、ちゃんと、自分の頭で考えないとだ。。

[noonworks]

「キー入力が苦手なのでパスワードを簡単なものに設定してしまう」ユーザーは、そもそもパスワード以外の認証方法を使うべきなんだろうなぁ。なかなかいいものがないけど。

[s_osa]

ID またはパスワードが〜 のやつはセキュリティ対策というより、プライバシー対策という印象が強い。

[tkawa]

こういうのをちゃんと考えたいと思う一方、個人的にはもうログインを自前で実装するのはできるだけやめていこうと思う

[tyage]

パスワードマスクないと、画面を配信するとかスクリーンショットとったとかで被害大きくなるのでは / 既に指摘されてた

[stealthinu]

autocomplete=offはそもそも最近のブラウザでは出来ないようになってるらしい。セキュリティポリシーはパスワード定期変更の件とかちゃんと時流に合わせて行く必要がある。

[pismo]

autocompleteの部分は僕の考えと完全に一致していた。ちょっと前に情報セキュリティCASで取り上げたネタだけど。

[hokorobi]

autocomplete は、自動入力されないことでフィッシングに気付くきっかになるんじゃないかと思っている。

[chintaro3]

そうだね

[maruhoi1]

パスワードのマスク表示は普通に必要だと思う、PCの配信などで動画として残った場合とかを考えると。

[umaemong]

パスワード保存の一律禁止はホント滅んで欲しい。「認証プロキシのIDとパスワードをブラウザに保存するの禁止」っていうアホみたいな「セキュリティ対策」してる企業があるらしい。滅べ。

[dazz_2001]

パスワードの定期的な更新は必要かな。スタッフの入れ替わりとか、部署移動とかあった人が、不必要にアクセスできないようにする為には有効かな。ただ、毎月は行き過ぎ。半年毎ぐらいで充分

[fashi]

ブラウザで戻るの禁止なサイトは二重処理を抑止する機能がないからみたいなダサい理由もある気がする

[ghostbass]

共有PCだったらautocomplete=offの方が…とちょっと考えたけどそれってPCのログイン自体が共有されてるってことだよね。ダメだね。離席時画面ロックは必須だね。

[whoge]

わかってはいるけど、外圧がめんどくさすぎてね。暗号化ファイル・パスワード別送なんかもGWのマルウェア検知が流行っている今リスクでしかないので全部落としたいけど根拠不明な常識となってしまっているし

[kaiton]

よく読もう

[veleno]

都市伝説ってもっともらしい嘘くらいの意味合いだと思ってたんだけど、意味全然違くない？ この人が有用性を見いだせないもしくはコスパあわないものにケチつけてんだけじゃん

[mohri]

なるほど

[lifeisadog]

本来postじゃないのにpostで遷移させる銀行系のサイトは頭おかしいなといつも思う

[nisisinjuku]

リテラシーの最下層を基準に考えるのと、作業効率を著しく低下させない。コレくらいが落としどころっすかね。

[lazex]

ムダに不便になってるのが多すぎるよね。なくなっていってくれればいいけど。

[meru_akimbo]

“ 1 ”