パスワードの定期的な変更は無意味だという人のためのまとめ
-
keijitakeda
- 14460
- 5
- 2
- 0
-
- いいね!0
keijitakeda
@keijitakeda
パスワードの定期変更をさまざまなサービスに対して一律に推奨や強制を行うべきではない理由は、発生するリスクと定期変更を行うことの労力や定期変更に伴い発生するリスク(忘れるなど)は人や組織のそれぞれであり、その費用対効果は個別ケースにおいて判断するのが合理的と考えられるからである。
2016-06-13 07:53:31
keijitakeda
@keijitakeda
@whyamanhasright 私はパスワードの定期変更の推奨や強制に反対すべきとする理由は一般に効果の割に利用者の負担が大きいということが本質であり、反対する人はそれを素直に表現すれば良いと考えています。
2016-08-12 18:31:42
keijitakeda
@keijitakeda
@whyamanhasright 教育者あるいは研究者として間違った知識が広まるのは望ましくないと考えています。また純粋になぜそんな風な間違った認識や理解が広まってしまうのかということにも興味があります。
2016-08-12 18:44:30
徳丸 浩
@ockeghem
僕は企業ネットワークではパスワードの定期的変更もやむを得ない場合があると思っていて、そういう考えに変わったきっかけは北河拓士さんとの会話です。2011年4月ですね。 twilog.org/kitagawa_takuj… ただし、他にもっと良い対策があればそちらを取るべきです
2016-08-25 22:35:20
徳丸 浩
@ockeghem
企業ネットワークではパスワードの定期的変更もやむなし…というのは、主にWindowsのパスワードを指します。この場合はパスワードの定期的変更の効果が高いわけではなく、ショルダーハック等でパスワードが漏洩しやすい環境なのに適当なコントロールがなく、影響が長期化するため、という理由。
2016-08-26 06:53:22
徳丸 浩
@ockeghem
端的に言えばパスワードの定期的変更やむなしという状況は危険だということでもありますね。定期的変更では「パスワードがばれているかもしれない状況を止める」だけだし RT @ockeghem: ショルダーハック等でパスワードが漏洩しやすい環境なのに適当なコントロールがなく、影響が長期化
2016-08-26 07:11:38
Kazuho Oku
@kazuho
「社内システムだとショルダーハックの危険がある」からパスワード定期的に変更すべき、と主張するなら、同様の危険がある例えばスマホからアクセスされるすべてのウェブサイトについて、同様の主張をすべきでは?
2016-08-26 07:39:53
mhl@元南CA移民→次は北CAへ
@mhl_bluewind
パスワード定期変更に関しては、米国の輸出に関する制度に起因している部分もあるので、輸出を行う企業では半ば必須です。 ”アカウントのパスワードについて定期的に変更を求める仕組みでなければならない。” sites.google.com/site/nexuspart… @ockeghem
2016-08-26 07:48:31
非実在naka aki
@naka_aki_spl
@ockeghem ああ、osが脆弱だーとかいう話ではなく、「デスクトップ」(複数の意味で)が脆弱だって話ですね。 「パーソナル」コンピュータが本当に「オフィス」に向くのか、ってのはちょっとした疑問ではあります。、、、ん?おふこん?ええっと、、、
2016-08-26 07:49:03
徳丸 浩
@ockeghem
パスワードの定期的変更について武田教授が良いことを言っていますね。『発生するリスクと定期変更を行うことの労力や定期変更に伴い発生するリスク(忘れるなど)は人や組織のそれぞれであり、その費用対効果は個別ケースにおいて判断するのが合理的』。なので個別ケースで判断が別れるのですよ。
2016-08-26 07:50:12
徳丸 浩
@ockeghem
はい、そうです RT @naka_aki_spl: @ockeghem ああ、osが脆弱だーとかいう話ではなく、「デスクトップ」(複数の意味で)が脆弱だって話ですね。 「パーソナル」コンピュータが本当に「オフィス」に向くのか、ってのはちょっとした疑問ではあります。、、、
2016-08-26 07:50:59
徳丸 浩
@ockeghem
ただ、個別ケースで判断するのは一般の方には難しいので、モデルケースを想定して説明していきたいと思います RT @ockeghem …その費用対効果は個別ケースにおいて判断するのが合理的…
2016-08-26 07:54:06
徳丸 浩
@ockeghem
「適当なコントロールがな」い場合の話なので、二段階認証等が使えればそちらを優先します RT @kazuho: …同様の危険がある例えばスマホからアクセスされるすべてのウェブサイトについて、同様の主張をすべきでは?
2016-08-26 07:58:25
徳丸 浩
@ockeghem
あと、パスワード漏えいのリスクがあり、影響が長期化し、かつ二段階認証(やログインアラート等)のコントロールがないウェブサービスは利用をやめようと思い、この理由から私はそれまで使っていたTodo管理サービスをやめました。社内システムはやめるわけにはいかないのですよね
2016-08-26 08:01:50
Kazuho Oku
@kazuho
@ockeghem それは、社内環境と同様にショルダーハックが多い環境ではパスワードの定期的変更も同様に必要になるか、というのとは直交する論点ですよね?
2016-08-26 08:07:07
徳丸 浩
@ockeghem
そうは思わないですね。「ショルダーハックが多く、かつ、それに対する適当なコントロールがない」環境では(状況によっては)パスワードの定期的変更をするしかない、というところなので RT @kazuho: @ockeghem それは…直交する論点ですよね?
2016-08-26 08:10:50
徳丸 浩
@ockeghem
本当に高度なセキュリティが必要な場合は、「ショルダーハックの結果最大3ヶ月は情報が漏洩するがその後漏洩は止まる…しかし再度ショルダーハックが起こればまた漏洩が始まる」なんて状況は許容できないので、スマートカード認証等を導入すべきでしょう(あるいは別の方法で対策する)
2016-08-26 08:18:49
徳丸 浩
@ockeghem
いいえ。しかし、重要な情報が溜まっていくタイプのサービスではそうするべきだと思いますし、そうでないものは私は使わないことにしました RT @kazuho: @ockeghem スマホ利用される一般的なウェブサイトは二段階認証を採用されているとお考えだということでしょうか?
2016-08-26 08:20:29
守護者
@syugosya
@ockeghem 前提がわからないのですが、何故オフィス内にショルダーハックを行う人間が居るのでしょうか? そのような行為を行うのは、ハッキングされる組織に対してどういった立場の人間を想定しているのでしょうか?
2016-08-26 08:23:00
徳丸 浩
@ockeghem
動機やパスワード取得の方法は色々ですが、上司や同僚のパスワードを悪用した事件は頻繁に起こっていますよ。たとえばこれ city.osaka.lg.jp/hodoshiryo/jin… @syugosya: @ockeghem …何故オフィス内にショルダーハックを行う人間が居るのでしょうか?…
2016-08-26 08:29:22
Kazuho Oku
@kazuho
@ockeghem これまでの議論において、パスワードを定期的に変更する主体は「徳丸さん」ではなく「一般的なユーザ」だったと思いますが。それを踏まえ(続く)
2016-08-26 08:55:26
Kazuho Oku
@kazuho
@kazuho @ockeghem 二段階認証が一般的でない現状において、徳丸さんがされているようなサービスの選別を一般ユーザに推奨すべきとお考えなのでしょうか
2016-08-26 08:57:46