パスワードの定期的な変更は無意味だという人のためのまとめ
- keijitakeda
- 14480
- 5
- 2
- 0
@kazuho それに近いことを3年前に書いているのですが、一般の方が実行するには困難があるので、僕はどう行動するのが良いか考え中、という感じです blog.tokumaru.org/2013/08/2.html
2016-08-26 09:03:41@ockeghem なるほどです。社内システムにおいて定期的変更が現実的解決策だというお立場だと理解しています。だとすると、社外システムにおいても定期的変更を同様に解のひとつとされても良いように思いますが、社内外で線をお引きになる理由はなんでしょう
2016-08-26 09:08:08@kazuho まず「解決策」ではなく「緩和策」であり、採用するか否かはケースバイケースだと思います。社内外で線を引く理由の一つは、社外システムの場合は「もっとよいシステムを選択する」ことができるが、社内システムは利用者にとっては選択の余地がないことも大きいと思います
2016-08-26 09:25:18@ockeghem 緩和策なのは同意です。社内外の線引きについては、これはポリシー論なので「社内ならば選択の余地がない」というのは必ずしもあてはまらず、社外ならば(必ず)選択の余地がある、というのもおかしいと思います。つまり、多寡の問題でしかないので、画一的な線引きはできないはず
2016-08-26 09:27:58@kazuho それは確かにその通りで、なので私は社外のシステムについてもパスワード定期的変更採用の余地は残しているつもりです。画一的な線引きをしたい意図はありませんので、そう受け取られたとしたら私の表現力不足のせいかと思います
2016-08-26 09:30:28念のためですが、私は「社内システムでは必ずパスワードを定期的に変更すべし」と言っているわけではないですよ。大げさに言えば、リスク分析をして、そうするべき(そうせざるを得ない)理由があればそうしろということで、検討の結果定期的変更しないという結論はありです。
2016-08-26 09:40:58@ockeghem もう一つ、利用者が社員なので、強制しやすい。というのもあると思います。まぁ、優先度の低い対策なので、その程度の効果しか期待していないのですけど。
2016-08-26 10:27:43.@ockeghem 最近米国で「パスワードの定期変更は意味がない」という報告が出てますので、早いとこお役所がそれに基づいてポリシーを変更してくれれば良いのですがね。それまでは、パスワード定期変更しないとビジネスが成り立たないのでつらいです。
2016-08-26 15:12:06