今日も今日とて定期的変更 TKDKG先生のひよひよプレイを今日もご覧ください!
- wvwwvvwvwvvvwvw
- 28188
- 2
- 18
- 64
第2ラウンド
@keijitakeda @hasegawayosuke 横槍で失礼しますが、「1.パスワードの定期変更」「2.パスワードを使い回さない」「3.簡単なパスワードを使わない」だと、1が最も重要性が低いように思います。2や3が守られないから、仕方なく出てくる対策ではないですか?
2014-09-04 12:19:53@nut320 @hasegawayosuke 2. 3. の対策でも防げないリスクをカバーされる部分(対象サービスのサーバーからの漏洩やフィッシングから作成されたパスワードリスト流通等)もありますから対策機能としては若干違ったものになるかと思います。
2014-09-04 12:25:58@keijitakeda それって、定期変更してなくても漏洩が判明してからなら対応できますよね?定期変更でカバーできるのは「頻繁な変更のおかげで、運良く漏洩から悪用までの間にパスワード変更してたとき」だけではないですか?
2014-09-04 12:41:32@keijitakeda なるほど。武田先生が定期的な変更の価値を認めるのは、漏洩にサービス側も利用者本人も気付いていない場合でも、被害を防げるから、ということでしょうか?
2014-09-04 12:50:39ちなみに「パスワードはわかりにくい文字列(8文字以上、記号を含む)を設定する」なんてのはシステム側で制限すれば済む話。(実際にはそうで無いケースがあるので啓蒙が不要というわけではないが)記号は必ずしも必要とも言えない。
2014-09-04 12:52:51@nut320 パスワードリストの漏洩から流通、悪用、発覚までタイムラグが存在するケースが実際に確認されていて、その間にパスワードが変更されていた場合に被害がないであろうことが分かっているので効果がないとは言えないと思うんですよね。
2014-09-04 13:00:47第3ラウンド
@keijitakeda @rocaz @nut320 そのケースでもバスワード変更を強制する→安易なパスワードを使う方(or繰り返し同じものを使用する)にバイアスがかかる。という構図もあるので、パスワード変更が被害を大きくしている可能性もあります。そうではない根拠はありますか?
2014-09-04 13:25:12@nakanishiyasuo @rocaz @nut320 「安易なパスワード」がどういうものを想定しているかわかりませんが変更のあるなしに関わらず単純なパスワードは制限すればよいのではないでしょうか。「繰り返し同じものを使用する」は「定期変更しない」と同じですね。
2014-09-04 13:29:02@keijitakeda @rocaz @nut320 パスワード変更を強制するとパスワードの桁数が少ない方向にバイアスがかかるといのには同意なのですか?また、8桁と32桁のパスワードだと32桁の方が漏洩したときにも安全性が高いという点についてはいかがですか?
2014-09-04 13:42:22@nakanishiyasuo 少ない桁数/複雑さのパスワードが使用可能なシステムでそのパスワードの強度が問題なのであれば定期変更に関わらず一定強度以下のパスワードは受け付けないようにした方が良いのではないでしょうか。
2014-09-04 13:45:50@keijitakeda 前のツイートで2つ質問をしました。前提を確認するのに重要なのでyes/noで答えて貰えませんか?
2014-09-04 13:50:19@nakanishiyasuo パスワード変更を強制するとパスワードの桁数が少ない方向にバイアスがかかるといのには同意なのですか?→ No. 8桁と32桁のパスワードだと32桁の方が漏洩したときにも安全性が高いという点についてはいかがですか? → 僅かな違いはあるが事実上No
2014-09-04 14:03:01「8桁と32桁のパスワードだと32桁の方が漏洩したときにも安全性が高い」ってどういう状況を想定してるんだろう、、、。
2014-09-04 15:25:39