定期的なパスワード変更は有効な施策なのか?
続き)漏洩元、漏洩したアカウントの持ち主双方が気付いていない場合と考えることができるかと思いますが、そのようなケースのために1人で多くのサービスを利用している今、他の訴求内容を実施した上に「定期的な変更」を求めることはあまりに現実的ではないとボクは考えています。(続く
2014-09-04 13:41:25続き)パスワードの「定期的な変更」は他の訴求内容にとって阻害要因ということもできると思っています。阻害要因を混ぜた訴求内容で一般のユーザに無理難題を強いて、他の訴求内容と同様に有効である対策として広めることは今までの現状を変えることにはならないのではないかと思うわけです。(続く
2014-09-04 13:41:36続き)パスワードの「定期的な変更」は様々なケースを想定すると完全に無意味とは言えませんが、明らかに他の訴求内容と比べ有効性が低く、優先度も低いと考えられます。そんなものをさも当然のように広告することは、ユーザのセキュリティレベルを上げることに繋がらないのではないでしょうか。(終り
2014-09-04 13:42:15ところでさっきはパスワードの定期的な変更についてコメントしたわけですが、IDも定期変更を訴求するってどういうことなんでしょうかね。
2014-09-04 13:50:00@nakanishiyasuo パスワード変更を強制するとパスワードの桁数が少ない方向にバイアスがかかるといのには同意なのですか?→ No. 8桁と32桁のパスワードだと32桁の方が漏洩したときにも安全性が高いという点についてはいかがですか? → 僅かな違いはあるが事実上No
2014-09-04 14:03:01これパスワードのハッシュ(または暗号化)データの漏洩状況を想定するならむしろ定期変更の効果がある場合の例になるんじゃないかな。
2014-09-04 16:08:45パスワード定期変更させたらユーザーが弱いパスワードを利用するようになるから良くないとかっていうの、弱いパスワードを利用する(利用できる)ことが良くないのであって定期変更関係無くね?そもそも因果関係の根拠もあやしいし。
2014-09-04 16:27:19定期変更させても kZQNwdt1 → kZQNwdt2 → kZQNwdt3 みたいに末尾の数字を変えるだけというの。変更しないのと変更するのどちらが攻撃耐性が高いかを考えたら変えた方が良い。問題はそこでなくて手間に見合うだけの効果が期待できるのかということでは?
2014-09-04 16:58:29じゃあ定期変更が「手間に見合うだけの効果が期待できるか」は、どう判断するかと言うとそれはサービスの内容であったり、起こりうる悪用リスクの大きさだったり、利用者の環境や利用形態だったりするわけで、その裁量の幅を狭めるだけの根拠も理屈もまだ出てないと思うんですよね。
2014-09-04 17:03:25例えば、パスワードは8文字以上で3種の文字種を利用した推測されないものに。であれば、この要件を満たしたものを3、4つ覚えるくらいならギリなんとかできるでしょう。しかし、次に一切の使い回しをしないようにしましょう。となるとこの段階で X 利用サービス数のものが必要になります。(続く
2014-09-04 17:22:04続き)この辺りで記憶だけでなんとかすることに無理が生じてきます。で、昨今のリスト型攻撃の被害の多発となるわけですね。そんな状況の中で「定期的に変更」を加えると、何度も繰り返していくうちになんとか3、4つ覚えることのできたものですら覚えられなくなってくると思うんです。(続く
2014-09-04 17:22:10続き)数字的な根拠ではないのですが、人間の記憶なんてそんなものだと思うわけです。少なくともボクには無理です。パスワード管理ソフトがなければボクには実現できそうにありません。パスワード管理ソフトを使ったとしても100を超えるサービスを定期変更するなんてイヤです。面倒です。(続く
2014-09-04 17:22:23続き)面倒。ってセキュリティを放棄しているように思われるかもしれませんが、現状そういった方が多いと思うんです。でも、そういった方々が少しでもセキュリティレベルを上げる世界を実現していかないといけないと思っています。(続く
2014-09-04 17:22:30続き)面倒。って理由ってバカにできません。それで弱いパスワードを付けたり、使い回しをして被害に遭う方がいるわけです。そこに「定期的な変更」という効果が限定的なものを強いることは最終的にそういった方々に対して無駄にハードルを上げ誤った方向に導くだけだと思うわけです。(続く
2014-09-04 17:22:37続き)このアンケートのリスクベース/二要素認証を使いたくない理由のQ10が興味深い。「面倒」という理由が圧倒的に多いんです。ボクたちはこうした方々にも実施してもらえるよう策を考え、歩み寄っていかないといけないのかもしれません。 research.lifemedia.jp/2014/04/140423… (続く
2014-09-04 17:22:43続き)先のアンケートは「定期的な変更」についてのものではありませんが、面倒という理由がいかにセキュリティをスキップする理由となりえるかということについては同じことが言えるのではないかと考えています。それを考慮するとボクは「定期的な変更」をしましょう!とは言えません。(終り
2014-09-04 17:22:52定期変更は負担が大きくて実際運用できないというのはそのとおりだと思います実際には強制ではなく自己判断で良いと思います。前述の判断基準でときどき変えた方が良いということは伝えて良いと思います。利用者の負担という意味ではサービス(サイト)毎に違うパスワードを使用するも同じことです。
2014-09-04 17:38:55ちなみに私はパスワードを一律に定期変更する必要はないと思っています。ただ誰かがそれを推奨することを否定するだけの根拠がないと思っています。自分自身はサービスによって時々(1年毎ぐらい)変更しています。
2014-09-04 17:58:10ときどき変えるのは「定期的な変更」とは言わないと思います。「複雑なパスワードを設定する」「使い回しをしない」以上にユーザに負担をかけない、それらと比較し有効性が薄いという意味で「定期的な変更」を推す必要がないと思うんですよね。
2014-09-04 19:08:23@ntsuji 「定期的な」というのは「定期的」に意味があるのではなくて一定の期間のいずれかのタイミングで変更をしましょうという呼びかけだと思います。「使い回し(をしない)」と「一定の期間のいずれかのタイミングで変更」は本質において対象となる脅威が異なるかと思います。
2014-09-04 19:15:20@keijitakeda 一定の期間というのは定期的とはどう違うのでしょうか?何かしらのトリガーがあるのでしょうか?
2014-09-04 19:31:35@ntsuji 私は「定期的」に意味があるとは思っていません。便宜上そういう表現が良く使われていることだと思います。厳密に「定期的」を適用すると仮に90日とか設定されると必ず90日目に変更しなくてはなりません。早くても遅くても駄目ということになります。それは意味ないですよね。
2014-09-04 19:34:26@ntsuji で実際の意味は最長90日目までの任意のタイミングで変更しましょうという呼びかけがされているということかと思います。大抵の場合において90日は短いように思いますがそれはリスク分析次第だと思います。あくまでも例ということでお願いします。
2014-09-04 19:37:05@keijitakeda 任意のタイミング言うのは理由は特になく「そうだ!パスワードを変更しよう!」的なものも含まれます?それを決められた期間内のどこかでするということでしょうか?
2014-09-04 19:41:56