定期的なパスワード変更は有効な施策なのか?
IPAのあれ、「パスワードの定期変更」って書いてきたダメな事業者を振るい落とす巧妙な罠だと信じてる…
2014-09-04 10:21:43@keijitakeda 「ID・パスワードは定期的に変更する」「サービスごとに異なるパスワードを設定する」「パスワードはわかりにくい文字列(8文字以上、記号を含む)を設定する」のいずれかを訴求する場面において他をさしおいてパスワード変更を推すことが駄目でない理由は何でしょう?
2014-09-04 10:27:16@hasegawayosuke 例として使用しなさいという話で、どの対策を一番推すかを選択するという話ではないのでは?
2014-09-04 10:32:46@keijitakeda 「以下の対策事例いずれかを用いて」 ipa.go.jp/files/00004148…
2014-09-04 10:34:32@hasegawayosuke 「広告展開を企画・ 実施し、対策実施への行動喚起を促す。(使用する対策事例は複数も可)」
2014-09-04 10:36:03@hasegawayosuke そういう話ではなくて一律にパスワードの定期変更の推奨を嘲笑するような風潮を広める事はあまり良く無いのではと思っています。
2014-09-04 10:39:05@keijitakeda 嘲笑するつもりはないですし実際していませんが、一律にパスワードの定期変更が有効な対策であるかのように掲げる風潮を広める事はあまり良くないのではと思っています。
2014-09-04 10:45:33何も考えずにパスワード定期変更をユーザーに押し付けるのは良くないが、何も考えずにそれを一律に批判することもまた良くないと思っています。
2014-09-04 10:46:52@hasegawayosuke すみません。現状においてパスワードの定期変更を対策オプションの選択肢から外すというまでの確証は得られてないのではないかと思っています。そこで変な空気が広まるのもどうかなぁと思った次第です。
2014-09-04 10:52:35@keijitakeda 広告という字数が限られたなかで一般人にきちんと印象に残り、定期変更が効果的か定かではない場合をも含む広範・一般的な状況でも当てはまるべく対策として、他を差し置いて「パスワードの定期変更」を掲げることは、僕は「ダメ」であると考えています。
2014-09-04 10:57:32そもそも、パスワードの(定期)変更が友好的に働くのは特定の条件下だけなのに、一律に攻撃に対して「定期変更が有効」みたいなのが広がるほうが問題。
2014-09-04 10:59:05@keijitakeda @hasegawayosuke 横槍で失礼しますが、「1.パスワードの定期変更」「2.パスワードを使い回さない」「3.簡単なパスワードを使わない」だと、1が最も重要性が低いように思います。2や3が守られないから、仕方なく出てくる対策ではないですか?
2014-09-04 12:19:53@nut320 @hasegawayosuke 2. 3. の対策でも防げないリスクをカバーされる部分(対象サービスのサーバーからの漏洩やフィッシングから作成されたパスワードリスト流通等)もありますから対策機能としては若干違ったものになるかと思います。
2014-09-04 12:25:58@keijitakeda それって、定期変更してなくても漏洩が判明してからなら対応できますよね?定期変更でカバーできるのは「頻繁な変更のおかげで、運良く漏洩から悪用までの間にパスワード変更してたとき」だけではないですか?
2014-09-04 12:41:32@keijitakeda なるほど。武田先生が定期的な変更の価値を認めるのは、漏洩にサービス側も利用者本人も気付いていない場合でも、被害を防げるから、ということでしょうか?
2014-09-04 12:50:39ちなみに「パスワードはわかりにくい文字列(8文字以上、記号を含む)を設定する」なんてのはシステム側で制限すれば済む話。(実際にはそうで無いケースがあるので啓蒙が不要というわけではないが)記号は必ずしも必要とも言えない。
2014-09-04 12:52:51@nut320 パスワードリストの漏洩から流通、悪用、発覚までタイムラグが存在するケースが実際に確認されていて、その間にパスワードが変更されていた場合に被害がないであろうことが分かっているので効果がないとは言えないと思うんですよね。
2014-09-04 13:00:47@nakanishiyasuo @rocaz @nut320 「安易なパスワード」がどういうものを想定しているかわかりませんが変更のあるなしに関わらず単純なパスワードは制限すればよいのではないでしょうか。「繰り返し同じものを使用する」は「定期変更しない」と同じですね。
2014-09-04 13:29:02IPAの「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争の訴求内容の中に「ID・パスワードは定期的に変更する」というのがあるんですね。 / ipa.go.jp/files/00004148… (続く
2014-09-04 13:41:05続き)この文書の概要に「スマートデバイス等が普及し、新たな手口でのネットワークサービス犯罪が次々に発生する昨今において」とありますが、ネットワークサービスにおいて「定期的な変更」は他の訴求内容である(続く
2014-09-04 13:41:13続き)「サービスごとに異なるパスワードを設定する」「パスワードはわかりにくい文字列(8 文字以上、記号を含む)を設定する」と同列に扱うべきものではないと思っています。ネットワークサービスにおいて「定期的な変更」が"無意味とは言えない"ケースは(続く
2014-09-04 13:41:20