定期的なパスワード変更は有効な施策なのか?

IPAが公募している「ID・パスワードのセキュリティ対策促進に関する広告等業務(https://www.ipa.go.jp/about/kobo/kobo20140903.html)」の内容に「ID・パスワードの定期変更を促進する内容」があるということで、パスワードを定期的に変更することを啓蒙することが有効策なのか、有効だとすればなぜ有効なのか、そしてそれは本当に有効なのか?と言う事を議論されていました。 ちょっと長いです。
37
Yosuke HASEGAWA @hasegawayosuke

IPAのあれ、「パスワードの定期変更」って書いてきたダメな事業者を振るい落とす巧妙な罠だと信じてる…

2014-09-04 10:21:43
keijitakeda @keijitakeda

@hasegawayosuke パスワードの定期変更を書くのが必ずしも駄目とも思えないのですが。

2014-09-04 10:24:42
Yosuke HASEGAWA @hasegawayosuke

@keijitakeda 「ID・パスワードは定期的に変更する」「サービスごとに異なるパスワードを設定する」「パスワードはわかりにくい文字列(8文字以上、記号を含む)を設定する」のいずれかを訴求する場面において他をさしおいてパスワード変更を推すことが駄目でない理由は何でしょう?

2014-09-04 10:27:16
keijitakeda @keijitakeda

@hasegawayosuke 例として使用しなさいという話で、どの対策を一番推すかを選択するという話ではないのでは?

2014-09-04 10:32:46
keijitakeda @keijitakeda

@hasegawayosuke 「広告展開を企画・ 実施し、対策実施への行動喚起を促す。(使用する対策事例は複数も可)」

2014-09-04 10:36:03
keijitakeda @keijitakeda

@hasegawayosuke どの対策を推すかというニュアンスはないかと思います。

2014-09-04 10:37:16
keijitakeda @keijitakeda

@hasegawayosuke そういう話ではなくて一律にパスワードの定期変更の推奨を嘲笑するような風潮を広める事はあまり良く無いのではと思っています。

2014-09-04 10:39:05
Yosuke HASEGAWA @hasegawayosuke

@keijitakeda 嘲笑するつもりはないですし実際していませんが、一律にパスワードの定期変更が有効な対策であるかのように掲げる風潮を広める事はあまり良くないのではと思っています。

2014-09-04 10:45:33
keijitakeda @keijitakeda

何も考えずにパスワード定期変更をユーザーに押し付けるのは良くないが、何も考えずにそれを一律に批判することもまた良くないと思っています。

2014-09-04 10:46:52
keijitakeda @keijitakeda

@hasegawayosuke すみません。現状においてパスワードの定期変更を対策オプションの選択肢から外すというまでの確証は得られてないのではないかと思っています。そこで変な空気が広まるのもどうかなぁと思った次第です。

2014-09-04 10:52:35
Yosuke HASEGAWA @hasegawayosuke

@keijitakeda 広告という字数が限られたなかで一般人にきちんと印象に残り、定期変更が効果的か定かではない場合をも含む広範・一般的な状況でも当てはまるべく対策として、他を差し置いて「パスワードの定期変更」を掲げることは、僕は「ダメ」であると考えています。

2014-09-04 10:57:32
Yosuke HASEGAWA @hasegawayosuke

そもそも、パスワードの(定期)変更が友好的に働くのは特定の条件下だけなのに、一律に攻撃に対して「定期変更が有効」みたいなのが広がるほうが問題。

2014-09-04 10:59:05
keijitakeda @keijitakeda

@hasegawayosuke それは他の対策の例についても言えることではないでしょうか?

2014-09-04 11:04:55
nut @nut320

@keijitakeda @hasegawayosuke 横槍で失礼しますが、「1.パスワードの定期変更」「2.パスワードを使い回さない」「3.簡単なパスワードを使わない」だと、1が最も重要性が低いように思います。2や3が守られないから、仕方なく出てくる対策ではないですか?

2014-09-04 12:19:53
keijitakeda @keijitakeda

@nut320 @hasegawayosuke 2. 3. の対策でも防げないリスクをカバーされる部分(対象サービスのサーバーからの漏洩やフィッシングから作成されたパスワードリスト流通等)もありますから対策機能としては若干違ったものになるかと思います

2014-09-04 12:25:58
nut @nut320

@keijitakeda それって、定期変更してなくても漏洩が判明してからなら対応できますよね?定期変更でカバーできるのは「頻繁な変更のおかげで、運良く漏洩から悪用までの間にパスワード変更してたとき」だけではないですか?

2014-09-04 12:41:32
keijitakeda @keijitakeda

@nut320 それを言い始めると「運良く漏洩が判明」した場合は対応できますよねということになりますね。

2014-09-04 12:43:34
nut @nut320

@keijitakeda なるほど。武田先生が定期的な変更の価値を認めるのは、漏洩にサービス側も利用者本人も気付いていない場合でも、被害を防げるから、ということでしょうか?

2014-09-04 12:50:39
keijitakeda @keijitakeda

ちなみに「パスワードはわかりにくい文字列(8文字以上、記号を含む)を設定する」なんてのはシステム側で制限すれば済む話。(実際にはそうで無いケースがあるので啓蒙が不要というわけではないが)記号は必ずしも必要とも言えない。

2014-09-04 12:52:51
keijitakeda @keijitakeda

@nut320 パスワードリストの漏洩から流通、悪用、発覚までタイムラグが存在するケースが実際に確認されていて、その間にパスワードが変更されていた場合に被害がないであろうことが分かっているので効果がないとは言えないと思うんですよね。

2014-09-04 13:00:47
keijitakeda @keijitakeda

@nakanishiyasuo @rocaz @nut320 「安易なパスワード」がどういうものを想定しているかわかりませんが変更のあるなしに関わらず単純なパスワードは制限すればよいのではないでしょうか。「繰り返し同じものを使用する」は「定期変更しない」と同じですね。

2014-09-04 13:29:02
辻 伸弘 (nobuhiro tsuji) @ntsuji

IPAの「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争の訴求内容の中に「ID・パスワードは定期的に変更する」というのがあるんですね。 / ipa.go.jp/files/00004148… (続く

2014-09-04 13:41:05
辻 伸弘 (nobuhiro tsuji) @ntsuji

続き)この文書の概要に「スマートデバイス等が普及し、新たな手口でのネットワークサービス犯罪が次々に発生する昨今において」とありますが、ネットワークサービスにおいて「定期的な変更」は他の訴求内容である(続く

2014-09-04 13:41:13
辻 伸弘 (nobuhiro tsuji) @ntsuji

続き)「サービスごとに異なるパスワードを設定する」「パスワードはわかりにくい文字列(8 文字以上、記号を含む)を設定する」と同列に扱うべきものではないと思っています。ネットワークサービスにおいて「定期的な変更」が"無意味とは言えない"ケースは(続く

2014-09-04 13:41:20
1 ・・ 5 次へ