今日も今日とて定期的変更 TKDKG先生のひよひよプレイを今日もご覧ください!

Yosuke HASEGAWA @hasegawayosuke

IPAが広告の規格競争を実施。訴求内容は「ID・パスワードは定期的に変更する」「サービスごとに異なるパスワードを設定する」「パスワードはわかりにくい文字列（8文字以上、記号を含む）を設定する」みんな大好き、定期変更でましたよ… ipa.go.jp/about/kobo/kob…

Yosuke HASEGAWA @hasegawayosuke

パスワードの定期変更を「自分ゴト」として訴求する広告をIPAが流すことになるわけですか。

shonantoka @shonantoka

IPAが「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争という公募を出してる。4000万円以内という破格な額。ただ、イケてないのが、「ID・パスワードの定期変更」を促進する内容であること。ipa.go.jp/files/00004148…

piyokango @piyokango

IPAの仕様書、「以下の対策事例いずれかを用いて」なので全てをやる必要はないのですね。

Yosuke HASEGAWA @hasegawayosuke

IPAのあれ、「パスワードの定期変更」って書いてきたダメな事業者を振るい落とす巧妙な罠だと信じてる…

piyokango @piyokango

IPAが仕掛ける新しいタイプのトラップ

keijitakeda @keijitakeda

@hasegawayosuke パスワードの定期変更を書くのが必ずしも駄目とも思えないのですが。

Yosuke HASEGAWA @hasegawayosuke

@keijitakeda 「ID・パスワードは定期的に変更する」「サービスごとに異なるパスワードを設定する」「パスワードはわかりにくい文字列（8文字以上、記号を含む）を設定する」のいずれかを訴求する場面において他をさしおいてパスワード変更を推すことが駄目でない理由は何でしょう?

keijitakeda @keijitakeda

@hasegawayosuke 例として使用しなさいという話で、どの対策を一番推すかを選択するという話ではないのでは？

Yosuke HASEGAWA @hasegawayosuke

@keijitakeda 「以下の対策事例いずれかを用いて」 ipa.go.jp/files/00004148…

keijitakeda @keijitakeda

@hasegawayosuke 「広告展開を企画・ 実施し、対策実施への行動喚起を促す。(使用する対策事例は複数も可)」

keijitakeda @keijitakeda

@hasegawayosuke どの対策を推すかというニュアンスはないかと思います。

keijitakeda @keijitakeda

@hasegawayosuke そういう話ではなくて一律にパスワードの定期変更の推奨を嘲笑するような風潮を広める事はあまり良く無いのではと思っています。

Yosuke HASEGAWA @hasegawayosuke

@keijitakeda 嘲笑するつもりはないですし実際していませんが、一律にパスワードの定期変更が有効な対策であるかのように掲げる風潮を広める事はあまり良くないのではと思っています。

keijitakeda @keijitakeda

何も考えずにパスワード定期変更をユーザーに押し付けるのは良くないが、何も考えずにそれを一律に批判することもまた良くないと思っています。

Seiji Matsuda R.I.P. @SeijiMatsuda1

批判している人は論拠を添えている人がほとんどだと思うがな？(´ー`) 『何も考えずにパスワード定期変更をユーザーに押し付けるのは良くないが、...』 archive.today/ANbXX #tkdkg pic.twitter.com/XyDXdCmopL

拡大

keijitakeda @keijitakeda

@hasegawayosuke すみません。現状においてパスワードの定期変更を対策オプションの選択肢から外すというまでの確証は得られてないのではないかと思っています。そこで変な空気が広まるのもどうかなぁと思った次第です。

Yosuke HASEGAWA @hasegawayosuke

@keijitakeda 広告という字数が限られたなかで一般人にきちんと印象に残り、定期変更が効果的か定かではない場合をも含む広範・一般的な状況でも当てはまるべく対策として、他を差し置いて「パスワードの定期変更」を掲げることは、僕は「ダメ」であると考えています。

Yosuke HASEGAWA @hasegawayosuke

そもそも、パスワードの(定期)変更が友好的に働くのは特定の条件下だけなのに、一律に攻撃に対して「定期変更が有効」みたいなのが広がるほうが問題。

keijitakeda @keijitakeda

@hasegawayosuke それは他の対策の例についても言えることではないでしょうか？

Miyata Takeshi @mtakeshi

パスワードの定期変更を推す人は、たぶん一般人が常に「98wu743%9」みたいなパスワードを作れると信じてるんだよなあ。「pasu002」じゃなく。

R SATO（佐藤　玲） @raysato

この話、昨日書き始めた資料とも関連するね。 「定期的なパスワード変更に関する勘違い」 twitter.com/raysato/status… ： 公募要領：「ID・パスワードのセキュリティ対策促進に関する広告等業務」係る企画競争 ipa.go.jp/files/00004148…

R SATO（佐藤　玲） @raysato

ふと思い立って「定期的なパスワード変更に関する勘違い」と称して安全なパスワード運用についてまとめようとしたけれど、熱がまだ下がってないので適当な思考しかできない…という事でWIPなスライド1枚。 pic.twitter.com/LZSVKcuTdU

2014-09-03 22:54:19

Hiromitsu Takagi @HiromitsuTakagi

法人顧客想定の場合に限り、定期的変更に意義がないと言うべきでないでしょう。なぜなら、法人顧客のアカウントは、社員個人に割り当てられたものではないからです。（もちろん、「定期的」とは違う方法で変更すべきですが。） twitter.com/ockeghem/statu… @ockeghem

徳丸 浩 @ockeghem

ぐぬぬ。第5項に定期的なパスワード変更があるぞ:( 定期的って、10年に 1回でもいいの? / 他3コメント b.hatena.ne.jp/entry/www.nikk… “ネット不正送金で企業に補償　全銀協が６条件示す　　：日本経済新聞” htn.to/uzVwQv

2014-07-05 10:54:26