だるろぐ

明日できることは、今日しない。

2月1日:セキュリティ強化月間

f:id:daruyanagi:20190201193524p:plain

今月はセキュリティの見直しを行うことにした。まずは、パスワードの管理。1Password の Watchtower 機能でダメなログイン情報を調べるとわんさか出てきた(同じドメインのログイン情報が重複して登録されていたので、実際はそんなに多くはない)ので、これを一つずつ潰す。

ちなみに、うちは ID とパスワードの組み合わせを使い回すことはないけれど、

  • ID の使い回し(daruyanagi)
  • パスワードの使い回し(数種類)

は個別にやってたりする。ザっと言うと、

  • ID としてニックネームを付けられる場合:daruyanagi にして強いパスワードを作る
  • ID がメールアドレス固定の場合:そのサービス専用のメールアドレス("[サービス名から適当に]@daruyanagi.jp")を作って、パスワードは覚えやすい奴を使い回し。サービスごとにメアドを作っとくと、楽天から漏れたとかすぐわかる

みたいな感じ。でも、前者はともかく、後者のやり方だと Watchtower に「侵害されたパスワード」「再使用されたパスワード」がたくさん出てきて気持ち悪い。また、古いパスワードは大文字小文字を混ぜてなかったので「脆弱」だと指摘される。いい加減、「脆弱」な奴だけでも対処すべきだろう。やられてからでは遅いしな。

んで、ちまちまとパスワードの再登録をしていたのだけど――サービスごとパスワード再設定のやり方が異なるのは本当に面倒くさいな。

  • 現在のパスワードと新しいパスワード(×2)を入力させるやつ:一番楽だけど、たまにユーザー名が空の新規ログイン情報として Chrome が覚えてしまう
  • メールでパスワード変更フォームの URL を送ってくる:クロネコヤマト
  • パスワードの確認の際、2回目を手入力させる(コピペ不可):マジかよ……
  • パスワード管理ツールとうまく連携できない:古いサイトあるある
  • アカウントの管理画面がそもそもわからん:エンバカデロ。ググらないとわからんかった。
  • リンクをクリックすると PWA アプリに:PWA アプリ上でログイン情報を管理できない、パスワード管理ツールと連携できない

f:id:daruyanagi:20190201212506p:plain
まぁ、リンクをコピーしてブラウザーに入れればいいんだけど!

  • PC からパスワードを変更できない:LINE。アプリから変更できるときは、PC で 1Password にエントリ&新パスワードを作って、端末でコピー&ペーストする
  • メールアドレスの入力欄が @ で二分割:カメラのキタムラ(テスト送信機能があるのはいいけど、オートフィルと相性悪い)
  • パスワードの文字数制限が妙に厳しい:エディオン、おめぇだよ!

f:id:daruyanagi:20190201220825p:plain

  • パスワードの変更 UI が住所・電話番号と同居:Value-Domain。しかも、保存ボタンを押すと“住所を正しく入れろ”だのとバリデーションエラーが出る(登録時は緩かったがあとで制限が厳しくなったパターン)
  • しかも、末尾にある[同意チェック]しないとパスワードが変えられない:エディオン、おめぇだよ!

f:id:daruyanagi:20190201220959p:plain

あと、パスワードを変更するときは、新しく生成したパスワードを保存しておくべき。Chrome の場合、パスワードの生成 → 入力 → マスクされたパスワードを選択 すると生成したパスワードを見ることができるので、それをクリップボードへコピーしておく。

f:id:daruyanagi:20190201202842p:plain

パスワードを更新すると、ブラウザー(Chrome)のパスワード管理機能とパスワード管理ツール(うちは 1password)の両方でパスワードの更新 UI が出ると思うのだけど、ときどき片方もしくは両方が出ない場合がある。もし保存しそこなったらえらいことだ。

f:id:daruyanagi:20190201203215p:plain

まぁ、Chrome のパスワード生成機能を使っておけば、すくなくとも Chrome 側には保存されると思うけれど。

あと、使わないサービスはアカウントを消してしまいたかったんだが、消し方がわからんサービスも多かった。アカウントの作成、ログイン、パスワードの変更、削除、ログアウトのエンドポイントは共通化されてほしいな。なんか国際的な検査機関を作って、ガイドラインに沿ったアカウント処理をしているサイトには「ぐっどろぐいんなさいと」みたいな認証を与えるとかして、インセンティブ付けして......まぁ、ダメなサイトはずっとダメだろうけど、「認証のあるサービスはアカウント情報の管理がしやすい!」ってなれば、アカウントを作るか作らないかの基準にはなると思う。細かいことは、もっと頭のいい人が考えてくれ。

f:id:daruyanagi:20190201222406p:plain

まだいくつか残ってるけど、これはイントラで使ってる奴だからあまり問題にはならない気がするので、とりあえず全部できた感じ。がんばった!

パスワードの棚卸の副次効果

  • パスワード管理ツールに重複して登録されていたログイン情報のお掃除:これが結構多い……
  • 不要なサービスを特定し、アカウントを削除できた
  • 忘れてたサービスを思い出せた:ヘッドフォンを買ったときに付けたクロネコ延長保証サービス
  • ピーチポイントが切れそうなの思い出した

たまにはやるもんだな。