今日も今日とて定期的変更 TKDKG先生のひよひよプレイを今日もご覧ください!
-
wvwwvvwvwvvvwvw
- 28168
- 2
- 18
- 64
-
- いいね!64
keijitakeda
@keijitakeda
@ntsuji で「定期的な変更(一定期間ないの任意のタイミングを含む)に関してですが、そちらを実施する場合はどういう方法論」ですがよくある例で定期的な変更を利用者に呼びかける、時期が近づけばパスワードの変更を促すメッセージが表示されるといった感じでしょうか。
2014-09-05 01:14:20
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@keijitakeda 使い回しをしていない状態でリスト型攻撃のリスクをゼロにはできないというのは漏洩元 = 攻撃先というものがあるからでしょうか。定期的な変更をするべきという主張ではなく、否定はできないという立場でしょうか?
2014-09-05 01:16:06
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@keijitakeda 質問の仕方が悪くてすいません。方法論はそれをユーザが実現するための方法論として考えるものはどういったものがあるかということが聞きたかったです。
2014-09-05 01:16:56
keijitakeda
@keijitakeda
@ntsuji 使い回しをしなければパスワードリスト攻撃のリスクを完全にゼロにできるという点については(定期変更と)違いがあると思います。という意味です。
2014-09-05 01:17:37
keijitakeda
@keijitakeda
@ntsuji 「定期的な変更をするべきという主張ではなく、否定はできないという立場でしょうか?」→ はいそのとおりです。
2014-09-05 01:18:04
keijitakeda
@keijitakeda
@ntsuji まぁ実際には「そろそろ変更」のメッセージが出たら変更するというのが一般的ではないかと思います。
2014-09-05 01:18:59
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@keijitakeda メッセージがでたら変更する。というアクションではないです。すいません。多くのサイトのパスワードを強固なものにして、使い回しをせず、定期的に変更するためにどのような管理をすることになるとお考えでしょうか。
2014-09-05 01:20:48
keijitakeda
@keijitakeda
@ntsuji 一番簡単なのはパスワードマネージャーでパスワード生成と再登録して管理する。あと紙に書いて記録する。一定のロジックで管理する例えば変更部分を暦年の数字とその年のいくつめのパスワードかとかを組み合わせる。とかでしょうか。
2014-09-05 01:23:23
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@keijitakeda やはりそうですか。どちらも定期的な変更を加えると管理が大変というかめっちゃ面倒そうですね。紙媒体を更新するほうが特に。管理ソフトを障壁と感じる方には手帳などへのメモをおすすめしているのですがそこまで手間かけさせられないかなと思っています。
2014-09-05 01:29:51
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@keijitakeda 落とし所は「強固なパスワードの設定」「使い回しをしない」を実施。管理は記憶に頼らず何かしらの外部記録を行う。「定期的な変更」はそれらを実施するにあたり、かなりハードルを上げるので強制も推奨もせず、やりたい人だけやれば?程度ということになりますでしょうか。
2014-09-05 01:34:22
keijitakeda
@keijitakeda
@ntsuji パスワード定期変更は大変だからやめた方が良いという話は私もそのとおりだと思うのですが、定期変更を推奨(強制ではない)すべき(したい)と思う人が考えをあらためるべき適切な理由が知りたいと思っています。(皆が面倒だと思っている以外で。)
2014-09-05 01:34:24
keijitakeda
@keijitakeda
@ntsuji おっしゃるとおりだと思います。問題は推奨すべきという主張を否定するための材料なのですが、やはりメリットの割に利用者の負担が大きすぎるという感じでしょうか。
2014-09-05 01:36:39
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@keijitakeda かしこまりました。武田さんがパスワードの定期的変更に対してメリットよりも利用者の負担が大きなものであると考えてらっしゃることが分かってよかったです。遅くまでお付き合いいただきありがとうございました。
2014-09-05 01:45:33
keijitakeda
@keijitakeda
@ntsuji こちらこそありがとうございます。おかげさまで大分、頭の中が整理できました。(多大なご負担をおかけしてすみませんでした。)
2014-09-05 01:46:47
MAEDA Katsuyuki
@keikuma
今年も集中講義が始まる訳ですが、今年はパスワードの定期的な変更についてレポート書いてもらって、それ評価して成績付けるのが良いな。あんまり自由に書かせて評価のしようがないレポート書かれても困るので、論点を整理してあげると良いな。そうしよう。そうしよう。
2014-09-05 02:08:16
MAEDA Katsuyuki
@keikuma
「パスワードを変更することによって、盗用の危険性は低減するか」「低減するとした場合、低減する理由はなにか」「パスワードを定期的に変更することを強制した方が良いのはどういう状況か」「一般のWebサービスがパスワードの定期的な変更を強制することのpros/consを論じよ」こうだな。
2014-09-05 02:11:38
shonantoka
@shonantoka
今気づいたんだが、今朝の2つのツイート、すごいRTされてる笑。ちなみにIPAは仕様書の内容について、明日から定められた様式を用いて質問できるみたい。
2014-09-05 00:13:54