パスワードの定期変更は無意味なのかについての議論(2015年11月)
-
keijitakeda
- 3728
- 15
- 1
- 2
-
- いいね!2
keijitakeda
@keijitakeda
@mutamac であなたの主張する「メモをアカウントと紐付けるクラック」はここに書かれてましたか?論点ずらしでもなんでもないですよね。(そもそも論点ですらないですが。) ja.wikipedia.org/wiki/%E3%83%91…
2015-11-27 11:21:26
keijitakeda
@keijitakeda
@mutamac 結局「パスワードの定期変更は無意味」とする根拠については「その効果に甘んじるのは私の考え方ではない」ということなんでしょうか。であればそのように表現された方が良いかと思います。それは私も否定しません。
2015-11-27 11:26:07
ムタマック
@mutamac
「毎月パスワード変更するのは無意味だが毎分変更するなら意味はあるかもしれない。ただしそんな人的コストが効果に値するのか。その評価がないなら全く無意味」の意味はわかりますか?
2015-11-27 11:33:53
keijitakeda
@keijitakeda
@mutamac 私は時々他人の生のパスワードを目にすることがあるんですね。そういう時にパスワードはたまには変えておいて欲しいなーと思うんですよ。
2015-11-27 11:34:13
keijitakeda
@keijitakeda
@mutamac 文字としての意味はわかりますが内容には疑問点が多いです。まず「毎月パスワード変更するのは無意味だが毎分変更するなら意味はあるかもしれない。」の前提が成り立つかが疑問です。これをこれまでの反証を意識した上で説明できますか?
2015-11-27 11:38:42
keijitakeda
@keijitakeda
@mutamac 他人のパスワードを見るという話でしょうか?セキュリティのインシデント対応、脆弱性検査、監査、事故、通報、調査などいろいろありますよ。
2015-11-27 11:40:30
keijitakeda
@keijitakeda
@mutamac パスワードの定期的な変更が推測リスク対策というところから頭が離れられないからではないでしょうか?(実際には漏洩リスク対策)
2015-11-27 11:43:55
ムタマック
@mutamac
ならばよくわかるはずでしょう。パスワードを手にしたやつが一ヶ月かけてゆっくり攻撃するとか、攻撃した証を必ず残すとか、その証がないからすぐに攻撃するやつなんかいないなんてことを前提にした議論は無意味ですよね?それまで否定なさる?
2015-11-27 11:44:05
keijitakeda
@keijitakeda
@mutamac ん?ある時点で私は当該アカウントのパスワードを持っているわけでそれがずっと変更されなければ私は一生不正があった時に疑われる可能性があるが、ある期間で変更されていればそれ以降は疑われなくて済みますよね。つまり不正が起こりうる期間が限定されるわけですが無意味ですか?
2015-11-27 11:47:24
ムタマック
@mutamac
そのインシデントがなぜ起きたかがそもそも問題なんじゃないんですかね?それ抜きでパスワード定期変更ばかり強調されるから、意味ないんじゃないの、変えてもまた漏れるよと言いたくなるのですが
2015-11-27 11:49:19
keijitakeda
@keijitakeda
@mutamac 意味ないんじゃないのと言いたくなる気持ちはわかります。だからと言って「意味がない」ことになるわけではありませんね。
2015-11-27 11:56:31
ムタマック
@mutamac
つまり5人しか泥棒を止められない防犯にも手間とコストは惜しまないとおっしゃるわけですね。ならばいうことはありません。お好きにどうぞ。
2015-11-27 11:58:26
keijitakeda
@keijitakeda
@mutamac 他の対策も同様ですよ。一つの対策で100人(全て)の泥棒を止める対策はありませんよ。それぞれのリスクに対して複合的な対策が必要です。その評価はケースバイケースであり一律に否定できるものではありません。
2015-11-27 12:03:54
keijitakeda
@keijitakeda
@mutamac パスワードの定期変更は無意味という主張は根拠がなくその効果は一律に否定できないということです。
2015-11-27 12:11:51