-
wvwwvvwvwvvvwvw
- 50240
- 17
- 23
- 22
-
- いいね!22
徳丸 浩
@ockeghem
いえ、利用者のパスワードの話ですから、管理者の退職のタイミングで変える(変えさせる)わけにはいきません RT @NA_AK; むしろ辞めた時に変えないとダメやん…
2015-06-07 19:22:36
yousukezan
@yousukezan
退職は定期のイベントじゃない気がするけど twitter.com/ockeghem/statu…
2015-06-07 19:53:36
徳丸 浩
@ockeghem
武田先生から教えていただいたところによると、ウェブサイト等の管理者が退職する際にパスワードを持ち帰り、しばらくたってから悪用する OR 競合他社に販売するリスクに備えてだそうです RT @tsuyogochi: .@keijitakeda 武田先生、お暇なときでよろしいのでご教授
2015-06-07 18:58:30
AtsukoOrikasa
@Rutice_jp
武田某にお伺いしたいのは、個人ユーザーが個人単位に発行されたパスワードを定期変更する必要性があるのかどうかだと思うけどなぁ。
2015-06-07 19:57:18
dara-j(最適化済み)
@dara_j_
[twitter.com/ockeghem/statu…] ということであれば、家の鍵に例えるのは難しいかぁ。賃貸で入居者が勝手に鍵をほいほい変えていいもんでもなかろうしコストもかかるからねぇ。つか、大家さんや管理者を信頼できないのであれば入居してることそのものを考え直したほうが。
2015-06-07 20:10:49
徳丸 浩
@ockeghem
管理者の退職の話、家の鍵に例えるのであれば、管理者が退職の際にアパートの住人の合鍵を作って持ち帰り、自ら悪用する OR 競合社に売却する、と例えるのがよいと思います。利用者パスワードの話題ですので
2015-06-07 19:37:53
徳丸 浩
@ockeghem
そこがポイントだと私も思いますが、サイト運営者の信頼性は外部から判断が難しいですからね RT @dara_j_: …つか、大家さんや管理者を信頼できないのであれば入居してることそのものを考え直したほうが
2015-06-07 20:13:28
NAK
@NA_AK
そっち!それは何というか、他にもっと言うべき所があるだろうと言う感じですね… @ockeghem; いえ、利用者のパスワードの話ですから、管理者の退職のタイミングで変える(変えさせる)わけにはいきません RT @NA_AK; むしろ辞めた時に変えないとダメやん…
2015-06-07 20:38:28
平賀信一朗 @ Aberdeen, UK; anti-fascist
@shiraga0516
パスワードを平文で保存してて、かつ管理者がユーザーのパスワードを盗んでるなんて前提なら、もはやユーザーのパスワード定期変更に意味ないでしょう。 マスターキーを持ってる大家が盗みに入ってる前提で、いくら鍵を変えたって依然としてマスターキーが有効なようなもの。
2015-06-07 20:21:52
平賀信一朗 @ Aberdeen, UK; anti-fascist
@shiraga0516
「管理者に悪意がある可能性」は考慮すべき。 しかし、それに対する対策として「ユーザーのパスワード定期変更」を出してくるとすれば、大馬鹿。 ワンタイムパスワード導入せえよ。
2015-06-07 20:25:28
平賀信一朗 @ Aberdeen, UK; anti-fascist
@shiraga0516
武田氏が以前「定期変更の有用性」をツイートした時は、1秒ごとに変更する前提のシミュレーションで「安全性が上がる」って言ってましたね。 twitter.com/tsuyogochi/sta…
2015-06-07 20:29:53
keijitakeda
@keijitakeda
@tsuyogochi まずはこちらをご覧ください。その上で疑問点があればご質問を。→ パスワードを定期的に変更することに意味はあるのか? motivate.jp/archives/2015/…
2015-06-07 20:27:41
平賀信一朗 @ Aberdeen, UK; anti-fascist
@shiraga0516
「パスワードの定期変更が有効な局面は非常に限られる」という批判を「パスワードの変更は無意味」と言い換える詭弁。
2015-06-07 20:32:54
強東風
@tsuyogochi
.@keijitakeda 読ませていただきました。この論では確かにパスワードの定期変更には少なからず意味があるものと思います。ただ、私が気になるのは責任の所在です。武田先生は「管理者が悪意を持ってパスワードを流出させた場合、その責任はユーザー側にある」とお考えなのですか?
2015-06-07 20:34:05
keijitakeda
@keijitakeda
@tsuyogochi 責任は管理者側にあるでしょうね。(私はこれまで一貫して「一律にパスワードの定期変更が意味がないとは言えない」という話をしていて、対策の責任が誰にあるとか、他の優先すべき対策がどうとかそいう話はしていません。その対策を一律に推奨しているわけでもありません。)
2015-06-07 20:37:44
強東風
@tsuyogochi
.@keijitakeda 責任が管理者側にあるとして、パスワードの定期変更に関する有効性がゼロかそうでないかというのなら、私から先生に意を唱えることはありません。しかし現実的に見て、一般的なユーザーにその「少なからず」の定期変更の有効性を訴えるのは難しい気はありますし(続きます
2015-06-07 20:44:48
強東風
@tsuyogochi
.@keijitakeda (続きです)専門的な知識のない一般ユーザーに理解を広める「啓蒙」の意味では、もっと分かりやすい言葉が欲しいと思うのですがいかがでしょうか? そうでなくとも、もっと簡単に「パスワードの定期変更」と同じ効果のある手段を考えることなど、いかがでしょう?
2015-06-07 20:46:24
Kanji Okada
@okada_k
「(私はこれまで一貫して「一律にパスワードの定期変更が意味がないとは言えない」という話をしていて、対策の責任が誰にあるとか、他の優先すべき対策がどうとかそいう話はしていません。その対策を一律に推奨しているわけでもありません。)」????????w
2015-06-07 20:47:27
Kanji Okada
@okada_k
TKD教授は、長い蒟蒻問答の末、自分の主張が「一律にパスワードの定期変更が意味がないとは言えない」にすり替える所までやっと辿り着いた模様ですwwww
2015-06-07 20:48:12
keijitakeda
@keijitakeda
@tsuyogochi まず漏洩は必ずサーバー側から発生するわけではありません。ブログにも書いていますが利用者側から漏洩する可能性もあります。説明文として以下を考えてみました。twitter.com/keijitakeda/st…
2015-06-07 20:53:11
keijitakeda
@keijitakeda
企業が推奨すべきと判断した場合の文言として「フィッシングやウイルス感染等利用者端末からの漏洩、未知の脆弱性等による当社サーバからの漏洩等発生時の被害緩和対策としてパスワード定期変更を推奨します。」とかどうでしょうかね。(私が推奨しているわけではありません。)
2015-06-03 07:37:07
keijitakeda
@keijitakeda
@tsuyogochi パスワードの定期変更よりも効率の良い対策もいろいろと存在していますのでそれを利用するという選択肢もあると思います。ただ、全てのサービスにそれを適用すべきかというと(サービス側のコストを気にしないとしても)難しい場面はまだ多いように感じます。
2015-06-07 20:56:27
平賀信一朗 @ Aberdeen, UK; anti-fascist
@shiraga0516
フィッシングに釣られてパスワード抜き出されてたら、「後の祭り」やん。
2015-06-07 21:00:17
平賀信一朗 @ Aberdeen, UK; anti-fascist
@shiraga0516
フィッシングに引っかかった場合は「直ちに」パスワードを変更すべきであり「定期的に変更」なんて話とはほぼ無関係。
2015-06-07 21:01:08