今日も今日とて定期的変更 TKDKG先生のひよひよプレイを今日もご覧ください!

前回はこちら http://togetter.com/li/605811 武田先生とボクのパスワードの定期変更に関するやり取りメモ
22
前へ 1 2 3 ・・ 10 次へ
nov matake @nov

アイデンティティタケチャンなら、どんなコミュニケーションでもループさせてくれるはずや。

2014-09-04 15:31:50
ROCA @rocaz

@nov もう疲れたんだよ、、疲れたんだ!

2014-09-04 16:47:43
kamemura2 @kamemura2

@keijitakeda 暗号化されたファイルが漏洩した場合の話?

2014-09-04 15:28:17
keijitakeda @keijitakeda

@kamemura2 ああ、パスワードのハッシュが漏洩した時を想定しているということですか。納得です。ありがとうございます。

2014-09-04 15:30:23
kamemura2 @kamemura2

@keijitakeda ハッシュが漏洩?Linuxの話ですか?

2014-09-04 15:35:28
keijitakeda @keijitakeda

@kamemura2 あ、暗号ですね。どちらのケースも考えられるかと思いますが。

2014-09-04 15:37:28
ROCA @rocaz

気付くのに何時間かかってるんだ!

2014-09-04 16:30:30
keijitakeda @keijitakeda

これパスワードのハッシュ(または暗号化)データの漏洩状況を想定するならむしろ定期変更の効果がある場合の例になるんじゃないかな。

2014-09-04 16:08:45
keijitakeda @keijitakeda

パスワード定期変更させたらユーザーが弱いパスワードを利用するようになるから良くないとかっていうの、弱いパスワードを利用する(利用できる)ことが良くないのであって定期変更関係無くね?そもそも因果関係の根拠もあやしいし。

2014-09-04 16:27:19
ROCA @rocaz

一回民間のIS担当経験して来い!

2014-09-04 16:52:00
tomokisanaki @tomoki0sanaki

パスワードの定期変更の期間を一ヶ月にしてしまって、利用者の多くが一月は「xxxx01」二月は「xxxx02」となってしまったシステムを僕は知っている。

2014-09-04 16:33:33
yousukezan @yousukezan

パスワード定期変更賛成ってつぶやいてる人、ただのかまってちゃんっぽく見える。

2014-09-04 16:44:15
このツイートは権利者によって削除されています。

第4ラウンド

辻 伸弘 (nobuhiro tsuji) @ntsuji

IPAの「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争の訴求内容の中に「ID・パスワードは定期的に変更する」というのがあるんですね。 / ipa.go.jp/files/00004148… (続く

2014-09-04 13:41:05
辻 伸弘 (nobuhiro tsuji) @ntsuji

続き)この文書の概要に「スマートデバイス等が普及し、新たな手口でのネットワークサービス犯罪が次々に発生する昨今において」とありますが、ネットワークサービスにおいて「定期的な変更」は他の訴求内容である(続く

2014-09-04 13:41:13
辻 伸弘 (nobuhiro tsuji) @ntsuji

続き)「サービスごとに異なるパスワードを設定する」「パスワードはわかりにくい文字列(8 文字以上、記号を含む)を設定する」と同列に扱うべきものではないと思っています。ネットワークサービスにおいて「定期的な変更」が"無意味とは言えない"ケースは(続く

2014-09-04 13:41:20
辻 伸弘 (nobuhiro tsuji) @ntsuji

続き)漏洩元、漏洩したアカウントの持ち主双方が気付いていない場合と考えることができるかと思いますが、そのようなケースのために1人で多くのサービスを利用している今他の訴求内容を実施した上に「定期的な変更」を求めることはあまりに現実的ではないとボクは考えています。(続く

2014-09-04 13:41:25
辻 伸弘 (nobuhiro tsuji) @ntsuji

続き)パスワードの「定期的な変更」は他の訴求内容にとって阻害要因ということもできると思っています。阻害要因を混ぜた訴求内容で一般のユーザに無理難題を強いて他の訴求内容と同様に有効である対策として広めることは今までの現状を変えることにはならないのではないかと思うわけです。(続く

2014-09-04 13:41:36
辻 伸弘 (nobuhiro tsuji) @ntsuji

続き)パスワードの「定期的な変更」は様々なケースを想定すると完全に無意味とは言えませんが、明らかに他の訴求内容と比べ有効性が低く、優先度も低いと考えられます。そんなものをさも当然のように広告することは、ユーザのセキュリティレベルを上げることに繋がらないのではないでしょうか。(終り

2014-09-04 13:42:15
辻 伸弘 (nobuhiro tsuji) @ntsuji

ところでさっきはパスワードの定期的な変更についてコメントしたわけですが、IDも定期変更を訴求するってどういうことなんでしょうかね。

2014-09-04 13:50:00
keijitakeda @keijitakeda

定期変更させても kZQNwdt1 → kZQNwdt2 → kZQNwdt3 みたいに末尾の数字を変えるだけというの変更しないのと変更するのどちらが攻撃耐性が高いかを考えたら変えた方が良い。問題はそこでなくて手間に見合うだけの効果が期待できるのかということでは?

2014-09-04 16:58:29
keijitakeda @keijitakeda

じゃあ定期変更が「手間に見合うだけの効果が期待できるか」は、どう判断するかと言うとそれはサービスの内容であったり、起こりうる悪用リスクの大きさだったり、利用者の環境や利用形態だったりするわけで、その裁量の幅を狭めるだけの根拠も理屈もまだ出てないと思うんですよね。

2014-09-04 17:03:25
辻 伸弘 (nobuhiro tsuji) @ntsuji

例えば、パスワードは8文字以上で3種の文字種を利用した推測されないものに。であれば、この要件を満たしたものを3、4つ覚えるくらいならギリなんとかできるでしょう。しかし、次に一切の使い回しをしないようにしましょう。となるとこの段階で X 利用サービス数のものが必要になります。(続く

2014-09-04 17:22:04
辻 伸弘 (nobuhiro tsuji) @ntsuji

続き)この辺りで記憶だけでなんとかすることに無理が生じてきます。で、昨今のリスト型攻撃の被害の多発となるわけですね。そんな状況の中で「定期的に変更」を加えると、何度も繰り返していくうちになんとか3、4つ覚えることのできたものですら覚えられなくなってくると思うんです。(続く

2014-09-04 17:22:10
前へ 1 2 3 ・・ 10 次へ

いま話題のタグ

漬物27 あすけん10 日テレ403 中学受験80 コミュニティノート121 ディストピア飯24 麒麟がくる117 競馬1475 日本テレビ281 サーバー119 マッチングアプリ191 正常性バイアス36 2547 インバウンド65 ラーメンハゲ14