-
wvwwvvwvwvvvwvw
- 15252
- 7
- 2
- 9
-
- いいね!9
debiru
@debiru
パスワードの定期的変更に何かしら意味があるにしても、デメリットを無視しているしその効果に期待して定期的変更を推奨するのは間違っていると思うので、それを強調する意味で「パスワードの定期的変更は無意味」と言ってしまってもよいと思っている派 blog.tokumaru.org/2014/10/blog-p…
2014-10-16 15:51:14
yousukezan
@yousukezan
リスト型攻撃対策としてパスワードの定期変更が有効なシチュエーションとしてパスワードを ・のぞき見された ・盗聴された ・キーロガーで盗まれた があるそうだが、そもそもパスワードリスト攻撃に使うユーザー名とパスワードの組み合わせがこれらの攻撃から作られたという事例があるのだろうか。
2014-10-16 22:18:17
yousukezan
@yousukezan
まあ普通に考えるとのぞき見したり盗聴したりしたパスワードは盗んでから間を置かずに使うだろうし、キーロガーで常に情報が見られるならパスワードの定期変更のやり取りを行っているところまで盗めるで無意味だろうしいろいろ不思議だ。
2014-10-16 22:22:54
keijitakeda
@keijitakeda
「サイト毎に異なるパスワードを設定しておけば、(略)パスワードリスト攻撃に関しては完全に防御することができます。」 → サイトAから窃取したアカウント情報を用いてサイトAを攻撃するケースを防御することができません。 blog.tokumaru.org/2014/10/blog-p…
2014-10-16 22:09:04
pseudoidentifier
@pseudoidentifie
サイトAから窃取したアカウント情報を用いてサイトAを攻撃するのはパスワードリスト攻撃ではありません。 漏洩もと以外のサイトを攻撃するというのがパスワードリスト攻撃の定義です。
2014-10-16 22:20:49
yousukezan
@yousukezan
ユーザー名とパスワードの組み合わせリストがサービス側のサーバーから盗まれたと考えた場合(他の可能性は考えずに)、リスト型攻撃に有効なのはパスワードとユーザー名の組み合わせを使い回さないことに尽きるんだと思うんだけど、これじゃ何か不都合があるのかな。
2014-10-16 22:34:50
まゆこ(特殊つっこみ)
@lamaille_mayuko
@yousukezan Aサイトから盗み出したIDとパスワードで、Aサイトには入れるから定期変更は有効だってごねてる。
2014-10-16 22:37:52
yousukezan
@yousukezan
@lamaille_mayuko それは当たり前のことなのですが、リストが流出してるサイトの方に問題があるので対策するしない以前のことだと思います。
2014-10-16 22:40:24
まゆこ(特殊つっこみ)
@lamaille_mayuko
@yousukezan だよね。 もうたけちゃんごねてるとしか思えないし、ほんとにもうよくわからない。
2014-10-16 22:41:20
ROCA
@rocaz
馬鹿すぎてワラタ。自分から聞きに行った徳丸さんや辻さんが何を前提に話してくれたのか。学習の無い人間は害悪 twitter.com/keijitakeda/st…
2014-10-16 22:44:19
keijitakeda
@keijitakeda
パスワードの定期変更が無意味であるという情報は多くの利用者にとって都合の良い情報である。これに対してパスワードの定期変更は無意味ではないという情報は多くの利用者にとって都合の悪い情報である。
2014-10-16 22:41:46
高木一郎
@takagiichiro
@keijitakeda 「定期変更はめんどくさいし嫌だな」と利用者が思ってるから無意味論が支持されてるに過ぎない。大衆迎合でウケてるだけだ。と言いたいのをこらえてるわけですよね。
2014-10-16 22:52:44