今日も今日とて定期的変更 TKDKG先生のひよひよプレイを今日もご覧ください!
-
wvwwvvwvwvvvwvw
- 28212
- 2
- 18
- 64
-
- いいね!64
keijitakeda
@keijitakeda
「別のマシンを使うことになったとか、或るマシンを別の人に貸与することになったとか、そういう場合にユーザ名とパスワードをセットで新しく設定するというのは、「パスワードの定期的な変更」という話とは違う。」plus.google.com/11232685363111… について。
2014-09-05 00:55:53
keijitakeda
@keijitakeda
私はマシンを変えるときになるべくパスワードを総取っ替えするようにしている。古いマシンが何かに感染していた場合にそこで使ったことのあるパスワードは漏洩している可能性があるから。新しいクリーンな環境でリセットすることでリスクの分割化ができると思っています。
2014-09-05 00:56:22
keijitakeda
@keijitakeda
パスワードのハッシュ(または暗号化)データの漏洩状況の話は、漏洩したハッシュから一定期間後にはパスワードが特定される可能性があるため、想定としてその状況は定期変更した方がいい場合の例として使えるという話です。
2014-09-05 00:58:49
ROCA
@rocaz
そのやり取りで何と無く分かったけど、TKD氏は多少なりともやり込められかけると、それまで「変数一つ」で話していた内容に急に複数の変数を付け足しにかかるんだよな。そりゃ解無しになるわな。
2014-09-05 00:08:56
pseudoidentifier
@pseudoidentifie
何を考えているか、どう考えているか理解できていないのに、自分と同じ部分もあるだろうという間違った仮定のもとにコミュニケーションをとろうとするからではないかと思う。 “@rocaz: TKD氏とのコミュニケーションコストはどうしてこんなに高いのか”
2014-09-04 22:43:19
pseudoidentifier
@pseudoidentifie
それは普通のことと思うし、そもそもやり込められるという発想自体がコミュニケーションの意図と異なっていると思う。 “rocaz: TKD氏は多少なりともやり込められかけると、それまで「変数一つ」で話していた内容に急に複数の変数を付け足しにかかるんだよな。そりゃ解無しになるわな。”
2014-09-05 01:01:07
ROCA
@rocaz
@pseudoidentifie 仰る意味としては理解できるのですが、会話での戦略や異なる点のintenttionとか、一般論としてそこまで相手のバックグラウンドは「研究」しないし気を遣う必要も無いし、逆に140字でそれらを相手に理解させることがTwのプロトコルではないかと
2014-09-05 01:03:32
dara-j(最適化済み)
@dara_j_
もっともっぽい感じだけど、弱いパスワード付けたがる人でも定期的じゃないんだからともかく固めにしておけ!と啓蒙すれば多少は効果あるんじゃないかな。少なくとも「固いパスワードを定期的に変更し続けろ」よりは。 twitter.com/keijitakeda/st…
2014-09-05 01:15:42
keijitakeda
@keijitakeda
定期変更を要求したら弱いパスワードをつける人が、定期変更なしの場合には強いパスワードをつけると思う理由がよくわからない。どちらにしても弱いパスワードをつけるのではないだろうか。
2014-09-04 21:40:49
dara-j(最適化済み)
@dara_j_
サービスごとに違うパスワード考えにゃならんほうが、いま使ってるサービスのあちこちで定期的に変更しなきゃならんのよりは労力少ないよね、大抵の場合。
2014-09-05 01:43:12
dara-j(最適化済み)
@dara_j_
「パスワードの定期変更」「パスワードを使いまわさない」「複雑なパスワードを使わない」を並べたときに、定期変更だけは「それだけじゃアカンやろ」感が一段も二段も上のように思えるが。
2014-09-05 01:45:43
dara-j(最適化済み)
@dara_j_
いまどきはパスワードの使い回しをしないってことを啓蒙するのが一番いいような気がするけどどうなんだろね。いや、もちろんいかにも弱いパスワードばかり使ってると、サービスことに異なってても効果が激しく薄いだろうけどもさ。
2014-09-05 01:47:29
dara-j(最適化済み)
@dara_j_
「他の訴求内容と同列に扱うことはセキュリティ原理主義かなと思います。」まさしく。パスワードの定期的変更が叩かれるのってたいていそういう「他の対策と同列のように」語られてるケースって気がするんだけど、そういう議論に「なんでそんなに叩くの?おかしくね?」って論をぶつけられるとなぁ。
2014-09-05 02:02:02
dara-j(最適化済み)
@dara_j_
「パスワードを変えないよりは変えたほうがいい」を完全否定するような主張って誰がしてたっけ? twitter.com/keijitakeda/st…
2014-09-05 02:17:05
keijitakeda
@keijitakeda
@ntsuji いろいろとありがとうございます。パスワードは変えた方がいいのか変えない方がいいのかというと、変えた方がいいという主張に私は一定の同意もできるんですよね。ずーっと同じパスワードを使うというのもどうかと。現時点それを完全否定できるだけの材料がないこともあり。
2014-09-05 00:34:29第9ラウンド
辻 伸弘 (nobuhiro tsuji)
@ntsuji
@keijitakeda 「運」の部分については「定期的な変更」は他とは違うという事は同意いただけますでしょうか。あと、主張なさっている定期的な変更(一定期間ないの任意のタイミングを含む)に関してですが、そちらを実施する場合はどういう方法論があるとお考えですか?
2014-09-05 01:05:29
keijitakeda
@keijitakeda
@ntsuji 使い回しをしなければパスワードリスト攻撃のリスクを完全にゼロにできるという点については違いがあると思います。一方パスワード強度は完全な乱数を使うことで桁数のパスワード仕様の最小確率まで持って行くことができます。一方定期変更が対象とする脅威は相手の状態に依存します。
2014-09-05 01:09:26
keijitakeda
@keijitakeda
@ntsuji で、別に定期的な変更を(するべきだと)主張しているわけではないのでないのでそこはご理解ください。
2014-09-05 01:11:05