今日も今日とて定期的変更 TKDKG先生のひよひよプレイを今日もご覧ください!
- wvwwvvwvwvvvwvw
- 28225
- 2
- 18
- 64
@kamemura2 ああ、パスワードのハッシュが漏洩した時を想定しているということですか。納得です。ありがとうございます。
2014-09-04 15:30:23これパスワードのハッシュ(または暗号化)データの漏洩状況を想定するならむしろ定期変更の効果がある場合の例になるんじゃないかな。
2014-09-04 16:08:45パスワード定期変更させたらユーザーが弱いパスワードを利用するようになるから良くないとかっていうの、弱いパスワードを利用する(利用できる)ことが良くないのであって定期変更関係無くね?そもそも因果関係の根拠もあやしいし。
2014-09-04 16:27:19パスワードの定期変更の期間を一ヶ月にしてしまって、利用者の多くが一月は「xxxx01」二月は「xxxx02」となってしまったシステムを僕は知っている。
2014-09-04 16:33:33第4ラウンド
IPAの「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争の訴求内容の中に「ID・パスワードは定期的に変更する」というのがあるんですね。 / ipa.go.jp/files/00004148… (続く
2014-09-04 13:41:05続き)この文書の概要に「スマートデバイス等が普及し、新たな手口でのネットワークサービス犯罪が次々に発生する昨今において」とありますが、ネットワークサービスにおいて「定期的な変更」は他の訴求内容である(続く
2014-09-04 13:41:13続き)「サービスごとに異なるパスワードを設定する」「パスワードはわかりにくい文字列(8 文字以上、記号を含む)を設定する」と同列に扱うべきものではないと思っています。ネットワークサービスにおいて「定期的な変更」が"無意味とは言えない"ケースは(続く
2014-09-04 13:41:20続き)漏洩元、漏洩したアカウントの持ち主双方が気付いていない場合と考えることができるかと思いますが、そのようなケースのために1人で多くのサービスを利用している今、他の訴求内容を実施した上に「定期的な変更」を求めることはあまりに現実的ではないとボクは考えています。(続く
2014-09-04 13:41:25続き)パスワードの「定期的な変更」は他の訴求内容にとって阻害要因ということもできると思っています。阻害要因を混ぜた訴求内容で一般のユーザに無理難題を強いて、他の訴求内容と同様に有効である対策として広めることは今までの現状を変えることにはならないのではないかと思うわけです。(続く
2014-09-04 13:41:36続き)パスワードの「定期的な変更」は様々なケースを想定すると完全に無意味とは言えませんが、明らかに他の訴求内容と比べ有効性が低く、優先度も低いと考えられます。そんなものをさも当然のように広告することは、ユーザのセキュリティレベルを上げることに繋がらないのではないでしょうか。(終り
2014-09-04 13:42:15ところでさっきはパスワードの定期的な変更についてコメントしたわけですが、IDも定期変更を訴求するってどういうことなんでしょうかね。
2014-09-04 13:50:00定期変更させても kZQNwdt1 → kZQNwdt2 → kZQNwdt3 みたいに末尾の数字を変えるだけというの。変更しないのと変更するのどちらが攻撃耐性が高いかを考えたら変えた方が良い。問題はそこでなくて手間に見合うだけの効果が期待できるのかということでは?
2014-09-04 16:58:29じゃあ定期変更が「手間に見合うだけの効果が期待できるか」は、どう判断するかと言うとそれはサービスの内容であったり、起こりうる悪用リスクの大きさだったり、利用者の環境や利用形態だったりするわけで、その裁量の幅を狭めるだけの根拠も理屈もまだ出てないと思うんですよね。
2014-09-04 17:03:25例えば、パスワードは8文字以上で3種の文字種を利用した推測されないものに。であれば、この要件を満たしたものを3、4つ覚えるくらいならギリなんとかできるでしょう。しかし、次に一切の使い回しをしないようにしましょう。となるとこの段階で X 利用サービス数のものが必要になります。(続く
2014-09-04 17:22:04続き)この辺りで記憶だけでなんとかすることに無理が生じてきます。で、昨今のリスト型攻撃の被害の多発となるわけですね。そんな状況の中で「定期的に変更」を加えると、何度も繰り返していくうちになんとか3、4つ覚えることのできたものですら覚えられなくなってくると思うんです。(続く
2014-09-04 17:22:10