武田圭史教授「あまり無駄なことに時間をとらせないで欲しい」#TKDKG #パスワード 「知恵袋で聞けばよろしいのでは?」

19

前回

まとめ #TKDKG 先生の定期的ひよひよ変更プレイを今月もご覧ください! #パスワード 15244 pv 101 2 users 9
シービー @MrCB_Harukaze

.@ntsuji さんの「武田先生にパスワードの定期変更について質問をいただきましたよ。」をお気に入りにしました。 togetter.com/li/732498

2014-10-16 00:11:15
まとめ 武田先生にパスワードの定期変更について質問をいただきましたよ。 組織で設定されているパスワードの定期変更期間よりも短い間隔で話題に上がってきている気がします。 関連ありそなまとめ http://togetter.com/li/605811 http://togetter.com/li/715385 http://togetter.com/li/715400 13784 pv 150 27 users 62
シービー @MrCB_Harukaze

(´-`).。oO(この教授との議論は、ほんとコスト高いわりに身になるものがほとんどないよなぁ

2014-10-16 00:16:10
シービー @MrCB_Harukaze

(´-`).。oO(情報セキュリティ業界の至宝の方々には、もっと実のなることにお力を注いでほしいと思います

2014-10-16 00:18:00
シービー @MrCB_Harukaze

(´-`).。oO(あの「パスワード定期変更」の一連の議論()は、すでに情報セキュリティから離れて某教授のプライドの世界の話になっているのでないかと…)

2014-10-18 01:05:52

今回

keijitakeda @keijitakeda

(これまでも何度か書いていますが)パスワード定期変更がセキュリティリスクの低減効果を持つ(意味がある)かどうかということと、それを推奨すべきか否かは独立に考えるべき事項であると考えています。

2014-10-18 07:04:52
keijitakeda @keijitakeda

自分がしたくない、気に入らないといった心情によって、実際には一定の条件でセキュリティ上のリスク低減効果などが「ある」ことが「無い」ことにされてしまうことは今後のセキュリティ対策の施策や技術を考えて行く上で悪影響を及ぼすと考えています。

2014-10-18 07:07:08
ot2sy39 @ot2sy39

やっぱkeijitakeda氏ズレてるな。まったく逆で、限定状況でしか効果がないのに、一般的に効果があるかのように吹聴されてるからセキュリティクラスタから反発されてるのに。

2014-10-18 09:31:57
Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

これ、なに言ってんですかね。twitter.com/keijitakeda/st… この例示じゃ1要素で2段階になってるだけのような気が。まさか Something You (Know|Have|Are) の3要素から重複なしで2要素という前提がないのかな。

2014-10-18 12:51:40
keijitakeda @keijitakeda

パスワード定期変更に関連して2要素認証を利用すべきという人はどういう2要素認証をイメージしてるのだろう。メールで認証コード送信でいいのかな。(他にトークンとかICカードとか乱数表とか生体認証とかいろいろあるけど)

2014-10-17 23:11:14
リンク twitter.com keijitakeda on Twitter: "パスワード定期変更に関連して2要素認証を利用すべきという人はどういう2要素認証をイメージしてるのだろう。メールで認証コード送信でいいのかな。(他にトークンとかICカードとか乱数表とか生体認証とかいろいろある
Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

例えば Google の2段階認証は、2段目が本人しか持っていない別デバイスへの音声またはSMSによる通知となる場合は、事実上 1段目:Know、2段目:Have と考えることができ、2要素を強く意識した2段階認証だと思いますよ。

2014-10-18 12:52:48
Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

一方で地方銀行のサイトなどで良くある 2段目が同一PCへのメール送信である場合は、典型的な1要素2段階認証だと思います。それにしてもこの方ホントに大丈夫なんでしょうか。

2014-10-18 12:53:24
keijitakeda @keijitakeda

@0x009AD6_810 メールで認証コード送信(SMS, キャリアメール)→something you have トークン→ you have ICカード→ you have 乱数表→ you have 生体認証 → you are かと

2014-10-18 17:58:21
Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

@keijitakeda ありがとうございます、メールがその方法であってかつ認証情報の入力を行うマシンとは別デバイスであるならば了解です。

2014-10-18 19:28:13
北河拓士🔰 @kitagawa_takuji

@keijitakeda @0x009AD6_810 最近はキャリアメールもWebからアクセスできますよ。

2014-10-18 19:39:45
keijitakeda @keijitakeda

@kitagawa_takuji そういえば北河さんも二要素(二段階)認証推しでしたね。どういった形で実現するのが現実的だと思いますか?

2014-10-18 23:19:45
keijitakeda @keijitakeda

@ntsuji 辻さんも以前パスワード定期変更させるぐらいなら二要素認証をということを言われていたと思いますが、二要素認証にもメール(SMS, キャリアメール)、トークン、ICカード、生体認証などいろいろあるかと思います。どのあたりのものをイメージされてらっしゃったのでしょうか?

2014-10-18 19:07:37
Kanji Okada @okada_k

しかし、相変わらずパスワード定期変更の具体的な間隔とかそれによる防御効率とか、その前提とか、全く示せて無いなぁ。それなのに「パスワード定期変更自体には意味があるんだからそれを省くとはなにごとか!」じゃ、何の説得力も無いよ。

2014-10-18 18:46:38
シービー @MrCB_Harukaze

(´-`).。oO(遠隔操作事件の元セキュクラ探偵団の一員の方が定期変更(とその周辺)についてツイートしているけど、正直なに言っているのかよく分からない。探偵団のころからだけど)

2014-10-18 20:56:39
シービー @MrCB_Harukaze

(´-`).。oO(最近のパスワード定期変更関連のツイートやまとめを見て、承認欲求という意味が何となく理解できたような気がします

2014-10-18 21:08:04
Kanji Okada @okada_k

そもそも、誰もパスワード定期変更に意味が無いなんて言ってないんだよね。

2014-10-18 18:46:59
keijitakeda @keijitakeda

@okada_k twitter.com/nosawa/status/…

2014-10-18 21:20:32
nosawa @nosawa

もうさ、面倒だから言い切っちゃうよ。パスワードの定期変更は無意味! 利用者は一定以上複雑なパスワードを設定してそれを適切に管理すれば基本的には十分。それ以上の手間を要求するのは単なるシステム側の不備。より強固にしたいならワンタイムパスとか別の方法を採用するべき。

2014-10-18 15:58:42
1 ・・ 8 次へ

いま話題のタグ

ちいかわ402 ロシア2636 言語2180 マナリス15 プラモデル1842 電車3613 ゼルダの伝説244 あひる15 アーマード・コア122 追放されたチート付与魔術師は気ままなセカンドライフを謳歌する。12 語学2173 SF2384 新幹線654 海外旅行1384 冷凍食品87