定期的なパスワード変更は有効な施策なのか?

IPAが公募している「ID・パスワードのセキュリティ対策促進に関する広告等業務(https://www.ipa.go.jp/about/kobo/kobo20140903.html)」の内容に「ID・パスワードの定期変更を促進する内容」があるということで、パスワードを定期的に変更することを啓蒙することが有効策なのか、有効だとすればなぜ有効なのか、そしてそれは本当に有効なのか?と言う事を議論されていました。 ちょっと長いです。
37
前へ 1 ・・ 4 5
keijitakeda @keijitakeda

@ntsuji 使い回しをしなければパスワードリスト攻撃のリスクを完全にゼロにできるという点については違いがあると思います。一方パスワード強度は完全な乱数を使うことで桁数のパスワード仕様の最小確率まで持って行くことができます。一方定期変更が対象とする脅威は相手の状態に依存します。

2014-09-05 01:09:26
keijitakeda @keijitakeda

そういう意味で定期変更が「運」に関して他と違う性質を持つという点については同意します。

2014-09-05 01:09:54
keijitakeda @keijitakeda

@ntsuji で、別に定期的な変更を(するべきだと)主張しているわけではないのでないのでそこはご理解ください。

2014-09-05 01:11:05
keijitakeda @keijitakeda

@ntsuji で「定期的な変更(一定期間ないの任意のタイミングを含む)に関してですが、そちらを実施する場合はどういう方法論」ですがよくある例で定期的な変更を利用者に呼びかける、時期が近づけばパスワードの変更を促すメッセージが表示されるといった感じでしょうか。

2014-09-05 01:14:20
辻 伸弘 (nobuhiro tsuji) @ntsuji

@keijitakeda 使い回しをしていない状態でリスト型攻撃のリスクをゼロにはできないというのは漏洩元 = 攻撃先というものがあるからでしょうか。定期的な変更をするべきという主張ではなく、否定はできないという立場でしょうか?

2014-09-05 01:16:06
keijitakeda @keijitakeda

@nut320 そうすると例えば強度が低下せずかつ記憶もしやすいパスワード設定方法(定期変更含む)の啓蒙ができればそれもありということになるでしょうか。

2014-09-05 01:16:31
辻 伸弘 (nobuhiro tsuji) @ntsuji

@keijitakeda 質問の仕方が悪くてすいません。方法論はそれをユーザが実現するための方法論として考えるものはどういったものがあるかということが聞きたかったです。

2014-09-05 01:16:56
keijitakeda @keijitakeda

@ntsuji 使い回しをしなければパスワードリスト攻撃のリスクを完全にゼロにできるという点については(定期変更と)違いがあると思います。という意味です。

2014-09-05 01:17:37
keijitakeda @keijitakeda

@ntsuji 「定期的な変更をするべきという主張ではなく、否定はできないという立場でしょうか?」→ はいそのとおりです。

2014-09-05 01:18:04
keijitakeda @keijitakeda

@ntsuji まぁ実際には「そろそろ変更」のメッセージが出たら変更するというのが一般的ではないかと思います。

2014-09-05 01:18:59
辻 伸弘 (nobuhiro tsuji) @ntsuji

@keijitakeda メッセージがでたら変更する。というアクションではないです。すいません。多くのサイトのパスワードを強固なものにして、使い回しをせず、定期的に変更するためにどのような管理をすることになるとお考えでしょうか。

2014-09-05 01:20:48
keijitakeda @keijitakeda

@ntsuji 一番簡単なのはパスワードマネージャーでパスワード生成と再登録して管理する。あと紙に書いて記録する。一定のロジックで管理する例えば変更部分を暦年の数字とその年のいくつめのパスワードかとかを組み合わせる。とかでしょうか。

2014-09-05 01:23:23
辻 伸弘 (nobuhiro tsuji) @ntsuji

@keijitakeda やはりそうですか。どちらも定期的な変更を加えると管理が大変というかめっちゃ面倒そうですね。紙媒体を更新するほうが特に。管理ソフトを障壁と感じる方には手帳などへのメモをおすすめしているのですがそこまで手間かけさせられないかなと思っています。

2014-09-05 01:29:51
辻 伸弘 (nobuhiro tsuji) @ntsuji

@keijitakeda 落とし所は「強固なパスワードの設定」「使い回しをしない」を実施。管理は記憶に頼らず何かしらの外部記録を行う。「定期的な変更」はそれらを実施するにあたり、かなりハードルを上げるので強制も推奨もせず、やりたい人だけやれば?程度ということになりますでしょうか。

2014-09-05 01:34:22
keijitakeda @keijitakeda

@ntsuji パスワード定期変更は大変だからやめた方が良いという話は私もそのとおりだと思うのですが、定期変更を推奨(強制ではない)すべき(したい)と思う人が考えをあらためるべき適切な理由が知りたいと思っています。(皆が面倒だと思っている以外で。)

2014-09-05 01:34:24
keijitakeda @keijitakeda

@ntsuji おっしゃるとおりだと思います。問題は推奨すべきという主張を否定するための材料なのですが、やはりメリットの割に利用者の負担が大きすぎるという感じでしょうか。

2014-09-05 01:36:39
keijitakeda @keijitakeda

@nut320 そうですね。それらは十分にニーズはあると思います。たまにしか使わなくてセキュリティ要求の低いWebサービスなどは登録アドレスにメールでリンクを送ってクリックで認証とかで済ませられるかと思っています。

2014-09-05 01:43:52
辻 伸弘 (nobuhiro tsuji) @ntsuji

@keijitakeda かしこまりました。武田さんがパスワードの定期的変更に対してメリットよりも利用者の負担が大きなものであると考えてらっしゃることが分かってよかったです。遅くまでお付き合いいただきありがとうございました。

2014-09-05 01:45:33
keijitakeda @keijitakeda

@ntsuji こちらこそありがとうございます。おかげさまで大分、頭の中が整理できました。(多大なご負担をおかけしてすみませんでした。)

2014-09-05 01:46:47
前へ 1 ・・ 4 5

いま話題のタグ

ワールドトリガー866 絵師502 承認要求4 インバウンド61 すがやみつる33 仮面アメリカ8 新人158 AI2252 おがくず152 ポケモン1922 初見感想からしか取れない栄養素がある25 カープ374 らーめん再遊記6 名探偵コナン496 お金674