武田先生にパスワードの定期変更について質問をいただきましたよ。
@ntsuji こちらになります。 twitter.com/keijitakeda/st… twitter.com/keijitakeda/st… twitter.com/keijitakeda/st… twitter.com/keijitakeda/st…
2014-10-15 21:50:41@ockeghem ご丁寧にご回答いただきありがとうございます。徳丸さんのお考えが良くわかりました。一方的に質問をしてしまい申し訳ございませんでした。今回質問させていただいた主旨としてはTwitterで見る限り徳丸さんと辻さんの書かれたものを読んで「パスワードの定期変更は...
2014-10-15 21:37:25@ockeghem ...徳丸さんと辻さんの書かれたものを読んで「パスワードの定期変更は無意味」と認識された方が少なからずいらっしゃったようなので、果たしてそれが正しいのか(本意なのか)どうか確認したかったためです。またこの無意味か否かにこだわっているのは無意味であれば...
2014-10-15 21:40:02@ockeghem ...また無意味か否かにこだわっているのは無意味であればその実現方法を検討する必要すらないわけですが、無意味でないケースがあるとするとその実現方法を検討する余地があると思ったからです。私自身は現在パスワードリストが市場で流通しパスワード漏洩から悪用まで...
2014-10-15 21:41:36@ockeghem ...私自身は現在パスワードリストが市場で流通しパスワード漏洩からそれが攻撃者の手に渡り悪用されるまでに一定の期間を有する状況においては、それが労力に見合うかどうかは別として過去よりもパスワードの定期変更が意味を持つ場合が多いのではないかと考えているためです。
2014-10-15 21:43:17@keijitakeda いえいえ。武田さんと徳丸さん、ボクとのやり取りをTogetterでまとめながらツイートしておりましたので大丈夫ですよ。ご質問ありがとうございました。
2014-10-15 21:51:52徳丸さんとのやりとり
@ockeghem 今現在徳丸さんは一般論としてパスワードの定期変更は無意味だとお考えでしょうか、それとも無意味ではないとお考えでしょうか。
2014-10-15 20:12:28@keijitakeda 一般論としては難しいですね。状況によっては意味がある場合もある(無意味とまでは言えない)、くらいではないかと
2014-10-15 20:46:02@ockeghem つまり徳丸さんは条件によってパスワードの定期変更は無意味な場合も無意味でない場合もあると考えられているという理解でよろしいでしょうか。
2014-10-15 20:47:56@ockeghem これらの記事を読んだ人の反応として(徳丸さんが)「パスワードの定期変更は無意味」(だと言っている。)といったものがありますが、その認識は正しいとお考えでしょうか?→blog.tokumaru.org/2013/08/1.html blog.tokumaru.org/2013/08/2.html
2014-10-15 20:56:54@keijitakeda 『以下の3条件を満たす場合、パスワードの定期的変更が意味がある可能性があります』と書いていますので、単に無意味とは言っていないつもりですが、その後の展開を読んで、徳丸は(実質)無意味と主張したいのだろうと深読みをした可能性はありますね
2014-10-15 21:01:19@ockeghem ありがとうございます。では「徳丸さんはパスワードの定期変更は(実質)無意味と主張したいのだろう」という認識を多くの方が持たれることは徳丸さんの考えに添うものでしょうか添わないものでしょうか。
2014-10-15 21:07:08@keijitakeda それは「多くの」の度合いにもよるかと思います。現在は「パスワードは定期的に変更するべし」という意見が圧倒的多数ですので、その前提では、誤解する人が多少出ても取るにたらぬ人数かと思います。ですが、技術者としてできるだけ正確公平な表現が好ましいとも思います
2014-10-15 21:10:31@ockeghem なるほど。ありがとうございます。ということは「徳丸さんはパスワードの定期変更は(実質)無意味と主張したいのだろう」は「誤解」だと認識されているということでよろしいでしょうか?
2014-10-15 21:12:09@keijitakeda 私の真意は、『パスワードの定期的変更は時に無意味とはいえないが、それは非常に残念なことである』ですので、「徳丸さんはパスワードの定期変更は(実質)無意味と主張したいのだろう」は少し外れていますが、大きな誤解とまでは言えず、ちょっと深読み程度かと思います
2014-10-15 21:14:43@ockeghem ありがとうございます。「パスワードの定期的変更は時に無意味とはいえないが、それは非常に残念なことである」とのことですがセキュリティ上意味がある(安全になる)のであればそれは残念ではないのではないでしょうか?
2014-10-15 21:18:29@keijitakeda 他の有効な方法で「パスワードの定期的変更に頼らなくても安全が担保される」状態が望ましいと考えますので、「パスワードの定期的変更に意味がある」上記は私にとっては残念な状況です
2014-10-15 21:20:23@ockeghem ご丁寧にご回答いただきありがとうございます。徳丸さんのお考えが良くわかりました。一方的に質問をしてしまい申し訳ございませんでした。今回質問させていただいた主旨としてはTwitterで見る限り徳丸さんと辻さんの書かれたものを読んで「パスワードの定期変更は...
2014-10-15 21:37:25@ockeghem ...徳丸さんと辻さんの書かれたものを読んで「パスワードの定期変更は無意味」と認識された方が少なからずいらっしゃったようなので、果たしてそれが正しいのか(本意なのか)どうか確認したかったためです。またこの無意味か否かにこだわっているのは無意味であれば...
2014-10-15 21:40:02@ockeghem ...また無意味か否かにこだわっているのは無意味であればその実現方法を検討する必要すらないわけですが、無意味でないケースがあるとするとその実現方法を検討する余地があると思ったからです。私自身は現在パスワードリストが市場で流通しパスワード漏洩から悪用まで...
2014-10-15 21:41:36@ockeghem ...私自身は現在パスワードリストが市場で流通しパスワード漏洩からそれが攻撃者の手に渡り悪用されるまでに一定の期間を有する状況においては、それが労力に見合うかどうかは別として過去よりもパスワードの定期変更が意味を持つ場合が多いのではないかと考えているためです。
2014-10-15 21:43:17@keijitakeda パスワードの定期的変更は既に権威が確立しているせいか、定期的変更を推進する立場から「定期的変更が有効な理由」が説明されないことが残念です。パスワードの定期的変更が有効なのであれば、それを推進したい方々から、有効性の説明があってしかるべきだと考えます。
2014-10-15 22:00:07@ockeghem おっしゃるとおりですね。私は定期変更を推進する立場というわけではありませんが、一方でパスワード強度、使い回しをしないその他対策についても十分説明はできていないと思います。このあたりをうまく説明できるよう整理したいと思います。
2014-10-15 22:14:16