- wvwwvvwvwvvvwvw
- 16819
- 1
- 4
- 10
前回
.@ntsuji さんの「武田先生にパスワードの定期変更について質問をいただきましたよ。」をお気に入りにしました。 togetter.com/li/732498
2014-10-16 00:11:15(´-`).。oO(あの「パスワード定期変更」の一連の議論()は、すでに情報セキュリティから離れて某教授のプライドの世界の話になっているのでないかと…)
2014-10-18 01:05:52今回
(これまでも何度か書いていますが)パスワード定期変更がセキュリティリスクの低減効果を持つ(意味がある)かどうかということと、それを推奨すべきか否かは独立に考えるべき事項であると考えています。
2014-10-18 07:04:52自分がしたくない、気に入らないといった心情によって、実際には一定の条件でセキュリティ上のリスク低減効果などが「ある」ことが「無い」ことにされてしまうことは今後のセキュリティ対策の施策や技術を考えて行く上で悪影響を及ぼすと考えています。
2014-10-18 07:07:08やっぱkeijitakeda氏ズレてるな。まったく逆で、限定状況でしか効果がないのに、一般的に効果があるかのように吹聴されてるからセキュリティクラスタから反発されてるのに。
2014-10-18 09:31:57これ、なに言ってんですかね。twitter.com/keijitakeda/st… この例示じゃ1要素で2段階になってるだけのような気が。まさか Something You (Know|Have|Are) の3要素から重複なしで2要素という前提がないのかな。
2014-10-18 12:51:40パスワード定期変更に関連して2要素認証を利用すべきという人はどういう2要素認証をイメージしてるのだろう。メールで認証コード送信でいいのかな。(他にトークンとかICカードとか乱数表とか生体認証とかいろいろあるけど)
2014-10-17 23:11:14例えば Google の2段階認証は、2段目が本人しか持っていない別デバイスへの音声またはSMSによる通知となる場合は、事実上 1段目:Know、2段目:Have と考えることができ、2要素を強く意識した2段階認証だと思いますよ。
2014-10-18 12:52:48一方で地方銀行のサイトなどで良くある 2段目が同一PCへのメール送信である場合は、典型的な1要素2段階認証だと思います。それにしてもこの方ホントに大丈夫なんでしょうか。
2014-10-18 12:53:24@0x009AD6_810 メールで認証コード送信(SMS, キャリアメール)→something you have トークン→ you have ICカード→ you have 乱数表→ you have 生体認証 → you are かと
2014-10-18 17:58:21@keijitakeda ありがとうございます、メールがその方法であってかつ認証情報の入力を行うマシンとは別デバイスであるならば了解です。
2014-10-18 19:28:13@kitagawa_takuji そういえば北河さんも二要素(二段階)認証推しでしたね。どういった形で実現するのが現実的だと思いますか?
2014-10-18 23:19:45@ntsuji 辻さんも以前パスワード定期変更させるぐらいなら二要素認証をということを言われていたと思いますが、二要素認証にもメール(SMS, キャリアメール)、トークン、ICカード、生体認証などいろいろあるかと思います。どのあたりのものをイメージされてらっしゃったのでしょうか?
2014-10-18 19:07:37しかし、相変わらずパスワード定期変更の具体的な間隔とかそれによる防御効率とか、その前提とか、全く示せて無いなぁ。それなのに「パスワード定期変更自体には意味があるんだからそれを省くとはなにごとか!」じゃ、何の説得力も無いよ。
2014-10-18 18:46:38(´-`).。oO(遠隔操作事件の元セキュクラ探偵団の一員の方が定期変更(とその周辺)についてツイートしているけど、正直なに言っているのかよく分からない。探偵団のころからだけど)
2014-10-18 20:56:39(´-`).。oO(最近のパスワード定期変更関連のツイートやまとめを見て、承認欲求という意味が何となく理解できたような気がします)
2014-10-18 21:08:04@okada_k twitter.com/nosawa/status/…
2014-10-18 21:20:32もうさ、面倒だから言い切っちゃうよ。パスワードの定期変更は無意味! 利用者は一定以上複雑なパスワードを設定してそれを適切に管理すれば基本的には十分。それ以上の手間を要求するのは単なるシステム側の不備。より強固にしたいならワンタイムパスとか別の方法を採用するべき。
2014-10-18 15:58:42