Q&A
回答ではなくコメントとしますが、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」の5.1 認証の「5.1.6 エラーメッセージの要件」には、「◆IDとパスワードのどちらが間違いか分かるとまずい理由」と「◆IDとパスワードを2段階で入力するサイトの増加」という項目があり、ご質問への回答となる説明をしております。
WEBアプリケーションのセキュリティチェック項目の中に、
ログイン画面でアカウントの存在有無を検知されないこと
という項目がありますよね。
例えば、
- 認証に失敗したとき、アカウントの存在有無によってエラーメッセージを変えるな
- ハッシュ化されたパスワードの検証で、アカウントの存在有無によって応答時間を変えるな
とか、そういう指摘を受けることがあります。
でも、最近の大手サービスでも、アカウント名とパスワードが同じ画面にあるのではなく、まずはアカウント名を入力して次の画面でパスワードを入力させるというパターンが増えています。
これって最初に書いた「ログイン画面でアカウントの存在有無を検知されないこと」に反していると思いますが、なぜAmazon, Google等のサービスではこのような設計が許容されているのでしょうか?
徳丸様 ご本人からメッセージをいただき恐縮です。
書籍の方とても参考になりました。
> このようにする理由は、ログイン認証がユーザには「面倒くさい」ものであり、ユーザへの負担が増えれば増えるほど安易なパスワードをつける傾向になることへの反省と考えられます。多少ログイン試行がやりやすくなるデメリットは許容し、ユーザの負担を減らすことにより、複雑なパスワードをつけるように誘導していると考えられます。
このあたり、とても参考になりました。
私としては、別の回答者に回答いただいたフィッシングされにくくするメリットを享受できることも一つ重要な理由だと考えました。
回答2件
0
ベストアンサー
WEBアプリケーションのセキュリティチェック項目の中に、
ログイン画面でアカウントの存在有無を検知されないことという項目がありますよね。
確かにその項目があることがありますが、それを満たしていないからといって問題(脆弱)であると考える必要はない項目だと思います。ID を公開していないサービスにおいては保険的対策の一種として機能するもの(根本的対策ではない)かと思います。
不親切なエラーメッセージにすることの目的と不利益
親切なエラーメッセージによって ID またはパスワードのどちらが間違っているか分かると、パスワード探索が容易になるという理由でこの対策が有効であると言われてきたかと思います。
しかしそれは、適切な強度のパスワードを設定しているユーザにとっては無関係です。パスワードが複雑であれば(十分な長さがあれば)、IDが分かったところで攻撃者はパスワードを当てることができません。
適切な強度のパスワードを設定しているユーザからすれば、エラーメッセージが不親切であることは不便になるだけであって、好ましい仕様であるとは言い切れません。
もし親切なエラーメッセージにしてもよいと考えるのであれば、ID とパスワードを同時に入力させずに、まずは ID を入力させてから次のステップでパスワードを入力させるというフォームにした方が自然で分かりやすいと考えられます。
これが Google のように、まずは ID を入力させてから次にパスワードを入力させるというフォームが増えてきた表面的な理由として考えられます。
また、そもそも ID を公開しているサービス(Twitter など)では、ログインフォームで ID を隠す必要がありません。そうした前提の違いによって、エラーメッセージを不親切にする理由がないケースもあります。
親切なエラーメッセージにすることによるデメリットに対する見解
ID を公開していないサービスがエラーメッセージを親切にしてしまうことで、ID の存在が(悪意のある)第三者にバレてしまうことによって何が問題となるでしょうか。
それは、脆弱なパスワードを設定しているユーザに対するパスワード探索が容易になるということです。
しかし、それに対しては別の根本的対策をすべきだと考えるのが、親切なエラーメッセージにしてしまって良いと考える第二の理由です。
根本的対策としては、ユーザに強度のあるパスワードを設定してもらうよう、次のような施策を行う事が考えられます。
- パスワード文字長の制限をなくす
- 複雑なパスワードを強制するために文字種混在を必須にする(これは賛否両論ありますが)
- 使いやすい UI にして、長いパスワード入力をすることの負担を軽減する(例えばパスワードの表示を可能にしたり、ID とパスワードの入力を同時ではなくそれぞれに分けるなど)
- 多要素認証を設定してもらう
パスワードを強固にしたり、多要素認証を設定すること、あるいはアカウントロック(同一IDに対するログイン施行の回数制限)を設けることが根本的対策であって、不親切なエラーメッセージにすることは対策ではないと考えることができます。そうなると不親切なエラーメッセージにするメリットが特にないことになりますので、だったら親切なエラーメッセージに倒したほうがよいだろうと考えるというわけです。
親切なエラーメッセージにすることによるメリット
親切なエラーメッセージというよりは、ID とパスワード入力を別々に分けることによるメリットがあります。
ひとつは、利便性があがるということです。ID を間違えたときに ID が間違っていることに気付けます。パスワードも同様です。
ふたつめは、パスワードの入力がしやすくなることで、強固なパスワードを設定してもらいやすくなるということです。
そしてみっつめは、フィッシングされにくくなるということです。フィッシングサイトでは通常、ID とパスワードの組を騙し取ろうとしますが、パスワード入力欄が最初から隠れていれば(ID 入力欄しか表示されていなければ)、もし誤ってフィッシングサイトにアクセスしてしまった場合にも、パスワードを盗み取られる可能性が少なくなります。
こうしたことを総合的に評価した上で、最初に示されていた「ログイン画面でアカウントの存在有無を検知されないこと」という要件はどのような意味を持つか(または無意味であるか)を検討することができます。
最後に
この回答は徳丸先生の資料セキュリティの都市伝説を暴くを参照しつつ私の見解を記述しています。
より正確な回答を知りたければ、コメント欄で示されているように徳丸先生の徳丸本第2版の当該項目を参照してみてください。何が書いてあるのか私も気になります。
投稿2023/02/13 13:03
総合スコア2857
> パスワードを強固にしたり、多要素認証を設定すること、あるいはアカウントロック(同一IDに対するログイン施行の回数制限)を設けることが根本的対策であって、不親切なエラーメッセージにすることは対策ではないと考えることができます。そうなると不親切なエラーメッセージにするメリットが特にないことになりますので、だったら親切なエラーメッセージに倒したほうがよいだろうと考えるというわけです。
私も同意です。
セキュリティチェック項目で"ログイン画面でアカウントの存在有無を検知されないこと"という項目が作成された当時は、まだ二段階認証が一般的でなく、この項目が作られた背景もあるかと思っています。
現在では、IDの存在有無が検知されることよりも、不正にログインされない取り組みとしての二段階認証の仕組みの方が大事だと私も考えています。
> そしてみっつめは、フィッシングされにくくなるということです。フィッシングサイトでは通常、ID とパスワードの組を騙し取ろうとしますが、パスワード入力欄が最初から隠れていれば(ID 入力欄しか表示されていなければ)、もし誤ってフィッシングサイトにアクセスしてしまった場合にも、パスワードを盗み取られる可能性が少なくなります。
こちらとても参考になります。確かにこの点においてIDとパスワードを分けるメリットが大きいと感じました。実際にAmazon等はフィッシングサイトを作成されてしまうことも多いですし。。
とても詳しく解説していただきありがとうございます。
大変助かりました。
0
Googleなどの有名サービスは2要素認証もあるし強気に出られるんですかね。
あとはとにかく多くの人がアカウントを持っているので隠すことにはあまり意味がなくて、隠す価値よりも晒す価値の方を選んでいるとか。
利便性とセキュリティはトレードオフの関係にあるので。
投稿2023/02/13 10:48
総合スコア1453
そもそもTwitterやGoogleのようなIDを公開しているサービスとそうでないものでもこのあたりの対応に違いがあるということですね。
回答いただきありがとうございます。
あなたの回答
tips
プレビュー
