読者です 読者をやめる 読者になる 読者になる

いろいろやってみるにっき

なんとか自分の会社を立ち上げるところまで漕ぎ着けた、てきとーに生きている奴の日記

関連記事を探すときは、読んだ記事と同じカテゴリをクリックしてください。

記事のカテゴリは記事タイトル下に表示されています。カテゴリ一覧はサイドバーにあります。


マイナンバーカードを使い始めたので、利用ガイド/利用規約を読んでみたら、パスワードの定期変更を推奨していた

マイナンバーカード/個人番号カードの利用規約は、jpki.go.jpがPDFで公開している。どのような利用規約なのか、しっかり読んでみた。

ポータルサイトの「ガイド・規約」ページに利用者規約へのリンクがあり、リンク先は全てPDFで上から、

  1. 【番号制度対応】公的個人認証サービス利用者ガイド
  2. 公的個人認証サービス利用者規約(住民基本台帳カード
  3. 公的個人認証サービス利用者規約(個人番号カード)

となっている。オレの場合は、住基カードは持っていないので#1と#3を読んでみた。

 

利用者ガイドのほうは、まず表紙を見てクラクラする。今回の件とは関係ないが。

f:id:shigeo-t:20161226040124p:plain

誰のセンスなんだよwwwww。創英角ポップ体使わないと死んじゃうのか?

 そしてピンクの題字バックwwww。桜色っぽいけどピンク系。ポップ体部分の青枠水色抜きもどうかと思うけど、色は使えばいいってもんじゃないだろ。マンセル色相環とかPCCS色相環とか使ってきちんと配色しろよ、趣味の文書じゃないんだから。

これでいいのか?地方公共団体情報システム機構

 

またいつも通りに脱線した。タイトルの話に戻す。まず、利用ガイド。P3(PDFでは5枚目)。

f:id:shigeo-t:20161226041024p:plain

https://www.jpki.go.jp/jpkiguide/rules_pdf/jpki_sgd_usersguides.pdf

利用規約では第11条。PDFでは4枚目。

第 11 条(秘密鍵の管理)

1. 電子署名は自署や押印に相当する法的効果を認められ得るものであることから、利用 者は十分な注意をもって秘密鍵、当該秘密鍵を格納した IC カード及びパスワードを安 全に管理しなければなりません。また当該パスワードについては定期的に変更するなど して、その秘匿性を維持しなければなりません。

2.秘密鍵を使用して電子署名を作成するためのアルゴリズムは、RSA2048bit ならびに SHA256 とします。利用者はこの電子署名アルゴリズムを使用しなければなりません。

https://www.jpki.go.jp/jpkiguide/rules_pdf/bangou_kiyaku.pdf

確かに第11条1に「当該パスワードについては定期的に変更するなどして、」と書かれている。 

 

手段は準備されているようだ。操作サンプルはWindows 8だけどな。

こないだはロックしてしまったので、区役所に行ってきた。ここにも書かれている。

エラー内容
対処方法
変更しようとしたパスワードがロックされている。 市区町村窓口にてパスワードのロック解除とともに、パスワード初期化申請を行って頂き、パスワードの再設定を行ってください。

通常のパスワード変更は、「パスワード変更」アプリあるいは「統合パスワード変更」で変更できるようだ。

Gemalto ジェムアルト ICカードリーダ・ライタ 電子申告(e-Tax)対応住基カード用PC USB-TR HWP119316

Gemalto ジェムアルト ICカードリーダ・ライタ 電子申告(e-Tax)対応住基カード用PC USB-TR HWP119316

 

 

利用ガイドにせよ利用規約にせよ一応定期変更推奨であり、定期変更必須ではない。まあ、JPKI提供の「公的個人認証」アプリ群には、定期変更を必ずさせるようなロジックは無さそう。

 

定期変更を必須にしたら、年間数回しか使わない人だとすぐに忘れたりして、オレみたいにロックして市区町村役場に行く人が増え、役場の窓口はパンクするだろうな。パスワード再設定画面の準備は、割と慣れが必要そうというのは、窓口カウンター越しに見えたマニュアルでも類推できたし。実際にすげーーーー待たされたし。すいませんねえ、めんどくさいことお願いして。

マイナンバーカードに関して言えば、パスワードロックがあるので、ブルートフォース攻撃や辞書攻撃、パスワードリスト攻撃などの物量での攻撃はかなり無理がある。ソーシャルハッキングソーシャルエンジニアリングで、直接間違いのないパスワードを入手され得る人以外、パスワードの定期変更には意味が無いだろう。「直接間違いのないパスワードを入手され」、マイナンバーカードの現物を自由に使わせるほど、おまぬけな人が全くいないとは言えないけど、パスワードの定期変更に意味があるとは言えないと考える。そんなおまぬけな人だったら、多分家の中にマイナンバーカードとパスワードを書いた紙をセットして置いておくはず。それをそのまま使えるのは、家に出入りできる人ということで、職業ドロボー以外は家族・あるいは家族に近い関係者。足が付きやすい。

家族内ドロボー 相続でバレる大問題 (光文社新書)

家族内ドロボー 相続でバレる大問題 (光文社新書)

 

職場にマイナンバーカードとパスワードを書いた紙をセットしておくような人は、気が狂っていると思うので、あまり考慮しなくてもいいんじゃないかな(この部分はセルジオ越後で読んでください)。 

 

 

 でだ。そもそもパスワードの定期変更ってどうなの?

TKD先生一派とのやりとりが味わい深い。一方NISTでは「パスワードの定期変更はすべきでない」と明言したようだ。

焦点となった文言は、「5.1.1.2. Memorized Secret Verifiers」に記載。「ユーザーが攻撃を受けたとの証拠の下に変更を要求した場合を除き、認証側は定期的にパスワードの変更を求めるべきではない」と述べられています。パスワードの定期変更を促すWebサービスは多いですが、ユーザーが前のパスワードに数字を加えるなど、予測しやすい変更を行ってしまいがちなのも事実。そういった観点からの記述と思われます。

http://image.itmedia.co.jp/nl/articles/1606/28/kutsu_160628password02.jpg

原文はこちら。ねとらぼでマーカー処理されている部分を探す。

Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) unless there is evidence of compromise of the authenticator or a subscriber requests a change.

これを和訳すると、

検証者は、認証者の妥協の証拠があるか、または加入者が変更を要求しない限り、記憶された秘密を任意に(例えば定期的に)変更する必要はない。

 となり、確かに定期変更は否定している。

 

 多分、ここらへんが分かりやすい。

 

オレの意見としては、パスワードの定期変更にはあまり効果は無く、ガッチリ守るべきものについては、まずは二要素認証やOTP(ワンタイムパスワード)、さらに上のものについては二経路認証、さらに上のものについては生体認証といった形で追加し、強度を積む形のほうがいいと思う。

 

あと、世の中の「2段階認証」については出来の悪い(煩雑なだけでセキュリティ的には意味が無い)ものもあるので、個々に評価したいと思う。