パスワードの定期的変更について徳丸さんに本当に聞いてみた
-
keijitakeda
- 13593
- 0
- 25
- 19
-
- いいね!19
徳丸 浩
@ockeghem
@keijitakeda そもそも他者の知り得ないパスワードを設定するのは利用者の責務ですから、長いパスワードをつけることは普遍的に好ましいと考えます。先生のお考えはいかがでしょうか?
2014-10-17 01:26:09
keijitakeda
@keijitakeda
@ockeghem この話で保存状態がわからない以上他の対策とのバランスを考慮してオンラインの攻撃耐性で十分とする考え方もあるかと思いました。定期変更反対の理由として良く言われる他の対策の阻害要因になりますね。 twitter.com/keijitakeda/st…
2014-10-17 01:29:53
keijitakeda
@keijitakeda
桁数が効力を発揮する前提としてソルトハッシュ等されたパスワードファイルが攻撃者に入手されることが前提となるが、同じ条件で平文パスワードであれば桁数に関わらず被害に直結する。利用者はサイト側のパスワードの管理状態を知ることができず対策が効力を発生する条件は極めて限定的。
2014-10-16 22:34:39
徳丸 浩
@ockeghem
@keijitakeda 『他の対策の阻害要因』とは具体的に何を阻害するのでしょうか? パスワードの定期的変更以外は阻害しないように思います。
2014-10-17 01:32:21
keijitakeda
@keijitakeda
@ockeghem サイト毎に異なる12桁以上のパスワードというのは結構な負担のようにも思われますが。またその強度が必要とされる根拠は極めて限定的な条件により有効になるということかと。
2014-10-17 01:33:37パスワード定期変更が意味を持つ場合の条件が一般的であることについて
keijitakeda
@keijitakeda
「以下の3条件を満たす場合、パスワードの定期的変更が意味がある可能性があります。」の条件は極めて限定的との認識が広まっているようだが実際には極めて一般的な条件である。 blog.tokumaru.org/2013/08/2.html…
2014-10-16 22:29:05徳丸: はい。箇条書きにしますね。以下の3条件を満たす場合、パスワードの定期的変更が意味がある可能性があります。
長期に情報が漏洩し続けると被害の拡大するメール、メッセージング、ストレージなどのサービスである
2段階認証、リスクベース認証、ログイン履歴確認画面などのセキュリティ施策がない
情報漏洩があっても、サイトからアナウンスされない可能性がある or フィッシング被害にあう心配がある
本日はここまで
徳丸 浩
@ockeghem
@keijitakeda こちらこそありがとうございました。お暇な時にでも、先生の考えるバランスのとれたパスワード管理施策を教えていただけると幸いです(サイト側視点、利用者側視点のどちらでも)。
2014-10-17 01:52:34
keijitakeda
@keijitakeda
@ockeghem ツイートを使わせていただきました。問題ありましたら対応しますのでご連絡ください。 togetter.com/li/733097
2014-10-17 07:04:58参考情報