今日も今日とて定期的変更 TKDKG先生のひよひよプレイを今日もご覧ください!

前回はこちら http://togetter.com/li/605811 武田先生とボクのパスワードの定期変更に関するやり取りメモ
22
前へ 1 2 ・・ 10 次へ
リンク twitter.com 徳丸 浩 on Twitter: ぐぬぬ。第5項に定期的なパスワード変更があるぞ:( 定期的って、10年に 1回でもいいの? / 他3コメント http://t.co/m7iOuJqKXK “ネット不正送金で企業に補償 全銀協が6条件示す :日本経済新聞”
徳丸 浩 @ockeghem

@HiromitsuTakagi はい。退職や異動などのタイミングでのパスワード変更は必須だと思います

2014-09-04 12:55:21

第2ラウンド

nut @nut320

@keijitakeda @hasegawayosuke 横槍で失礼しますが、「1.パスワードの定期変更」「2.パスワードを使い回さない」「3.簡単なパスワードを使わない」だと、1が最も重要性が低いように思います。2や3が守られないから、仕方なく出てくる対策ではないですか?

2014-09-04 12:19:53
keijitakeda @keijitakeda

@nut320 @hasegawayosuke 2. 3. の対策でも防げないリスクをカバーされる部分(対象サービスのサーバーからの漏洩やフィッシングから作成されたパスワードリスト流通等)もありますから対策機能としては若干違ったものになるかと思います。

2014-09-04 12:25:58
nut @nut320

@keijitakeda それって、定期変更してなくても漏洩が判明してからなら対応できますよね?定期変更でカバーできるのは「頻繁な変更のおかげで、運良く漏洩から悪用までの間にパスワード変更してたとき」だけではないですか?

2014-09-04 12:41:32
keijitakeda @keijitakeda

@nut320 それを言い始めると「運良く漏洩が判明」した場合は対応できますよねということになりますね。

2014-09-04 12:43:34
nut @nut320

@keijitakeda なるほど。武田先生が定期的な変更の価値を認めるのは漏洩にサービス側も利用者本人も気付いていない場合でも、被害を防げるから、ということでしょうか?

2014-09-04 12:50:39
keijitakeda @keijitakeda

ちなみに「パスワードはわかりにくい文字列(8文字以上、記号を含む)を設定する」なんてのはシステム側で制限すれば済む話。(実際にはそうで無いケースがあるので啓蒙が不要というわけではないが)記号は必ずしも必要とも言えない。

2014-09-04 12:52:51
keijitakeda @keijitakeda

@nut320 パスワードリストの漏洩から流通、悪用、発覚までタイムラグが存在するケースが実際に確認されていてその間にパスワードが変更されていた場合に被害がないであろうことが分かっているので効果がないとは言えないと思うんですよね。

2014-09-04 13:00:47
ROCA @rocaz

すでに定期変更の話では無いのでは twitter.com/keijitakeda/st…

2014-09-04 13:14:06
keijitakeda @keijitakeda

@rocaz 違いがよくわかっていませんがどういうことでしょう。

2014-09-04 13:17:41

第3ラウンド

Yasuo Nakanishi @nakanishiyasuo

@keijitakeda @rocaz @nut320 そのケースでもバスワード変更を強制する→安易なパスワードを使う方(or繰り返し同じものを使用する)にバイアスがかかるという構図もあるので、パスワード変更が被害を大きくしている可能性もあります。そうではない根拠はありますか?

2014-09-04 13:25:12
keijitakeda @keijitakeda

@nakanishiyasuo @rocaz @nut320 「安易なパスワード」がどういうものを想定しているかわかりませんが変更のあるなしに関わらず単純なパスワードは制限すればよいのではないでしょうか。「繰り返し同じものを使用する」は「定期変更しない」と同じですね。

2014-09-04 13:29:02
Yasuo Nakanishi @nakanishiyasuo

@keijitakeda @rocaz @nut320 パスワード変更を強制するとパスワードの桁数が少ない方向にバイアスがかかるといのには同意なのですか?また、8桁と32桁のパスワードだと32桁の方が漏洩したときにも安全性が高いという点についてはいかがですか?

2014-09-04 13:42:22
keijitakeda @keijitakeda

@nakanishiyasuo 少ない桁数/複雑さのパスワードが使用可能なシステムでそのパスワードの強度が問題なのであれば定期変更に関わらず一定強度以下のパスワードは受け付けないようにした方が良いのではないでしょうか。

2014-09-04 13:45:50
Yasuo Nakanishi @nakanishiyasuo

@keijitakeda 前のツイートで2つ質問をしました。前提を確認するのに重要なのでyes/noで答えて貰えませんか?

2014-09-04 13:50:19
keijitakeda @keijitakeda

@nakanishiyasuo パスワード変更を強制するとパスワードの桁数が少ない方向にバイアスがかかるといのには同意なのですか?→ No. 8桁と32桁のパスワードだと32桁の方が漏洩したときにも安全性が高いという点についてはいかがですか? → 僅かな違いはあるが事実上No

2014-09-04 14:03:01
Yasuo Nakanishi @nakanishiyasuo

@keijitakeda なるほど、そういう認識ならば定期的に変更した方が安全ってなりますね。

2014-09-04 14:15:12
ROCA @rocaz

TKD氏とのコミュニケーションコストはどうしてこんなに高いのか

2014-09-04 15:10:47
nov matake @nov

たけちゃんもそろそろツイッター辞めてもええんやで?

2014-09-04 15:20:42
keijitakeda @keijitakeda

「8桁と32桁のパスワードだと32桁の方が漏洩したときにも安全性が高い」ってどういう状況を想定してるんだろう、、、。

2014-09-04 15:25:39
ROCA @rocaz

な。生パスワードが漏洩した時の話になってるやろ。コスト高いわー

2014-09-04 15:29:24
nov matake @nov

@rocaz アイデンティティタケチャンをな、作るねん。

2014-09-04 15:31:25
前へ 1 2 ・・ 10 次へ

いま話題のタグ

推しの子84 承認要求4 お金持ち30 明日のナージャ1 マンガ41677 離婚364 iPad713 健康7714 虎に翼17 対魔忍38 竹田くん5 ゲーム68075 料理8864 サンドイッチ104 ホテル556