パスワードの定期変更に関するブログエントリー(2016年版)に対する反応のまとめ
- keijitakeda
- 3285
- 11
- 1
- 0
#cchanabomemo #cchanaboedu 【パスワードの定期変更1】〜まずは結論から motivate.jp/archives/2016/… パスワードの定期変更といえば武田先生と結びつくレベルで認識されているこの問題についての武田先生的まとめ。後で目を通す。続編も待機。
2016-01-28 12:16:07漏洩リスクたいさくとしてもダメってのを理解してないのか・・・ motivate.jp/archives/2016/…
2016-01-31 15:25:39#パスワードおじさん は「パスワードの定期変更はほとんどの場合無意味」なら満足してくれるのかなぁ。 「すべての場合において『パスワードの定期変更は無意味』ということはない」っていう反論しかしてるのみたこと無いんで。
2016-01-31 18:21:03解釈がブレるのが問題、と。/"私が問題視しているのは「パスワードの定期変更は無意味」という言葉そのものであり解釈の内容を問うものではありません"/"むしろそのように解釈にブレが生じる表現が用いられていることが事実誤認を生む原因" motivate.jp/archives/2016/…
2016-01-31 18:23:05んで、解釈をブラしてるといか。/"「定期的」とは「一定の期間を超えないうちに」という意味で使われる表現と認識しており、必ず一定の期間毎に変更するという意味を意図するものではありません。" motivate.jp/archives/2016/…
2016-01-31 18:23:49@dara_j_ 基本的に「がっつり強固な思い込みがある」のが大前提で、その上に議論が乗っかってきますからねぇ。 「思い込みの時点でミスやずれがある」と、そこから先が以下略。
2016-01-31 18:33:50【パスワードの定期変更1】〜まずは結論から motivate.jp/archives/2016/… - “一般にパスワード変更の文脈において「定期的」とは「一定の期間を超えないうちに」という意味で使われる表現と認識しており...” #これはひどい
2016-01-31 18:41:34“一般にパスワード変更の文脈において「定期的」とは「一定の期間を超えないうちに」という意味で使われる表現と認識しており、必ず一定の期間毎に変更するという意味を意図するものではありません。” - 都合のいい解釈による言葉遊びに過ぎない,と言明されているのですね。 #これはひどい
2016-01-31 18:42:31(承前)定期:あることが行われる時期が定まっていること。 - dictionary.goo.ne.jp/jn/149694/mean… ,定期的:物事が一定の期間を置いて行われるさま。 - dictionary.goo.ne.jp/jn/149728/mean… どう受け取っても,一定期間を置いて行われるのでは? #これはひどい
2016-01-31 18:44:06(承前)必ずしも“一定の期間毎に変更するという意味を意図するものでは”ないとしても,一定期間内に行われるとの共通認識を期待することは単語の字句意味合いからして無理があると言わざるを得ないのではないでしょうか…。 #これはひどい
2016-01-31 18:45:49同様に,「パスワードの定期変更は無意味」の無意味が全く持って無を示すのではない,ということは共通認識足りえないかもしれません。しかし,セキュリティとはそもそも性善説に立って説くものではないのではないでしょうか?(続) #これはひどい
2016-01-31 18:47:37(承前)その意味においても,(都合よく一定期間内に変更されることを企図して)意味があると説くことと,(一定期間が実際には不定期であり,その効果のほどが不明であることから)無意味と説くこととどちらが“セキュリティにおいて意味があるか”は自明でしょう。 #これはひどい
2016-01-31 18:49:14【パスワードの定期変更2】〜なぜ「パスワードの定期変更は無意味」と言ってしまうのか motivate.jp/archives/2016/… - “多くの人が「パスワードの定期変更は無意味」と言ってしまう、言いたくなってしまう理由”は一つしかないでしょう。(続) #これはひどい
2016-01-31 18:51:27(承前)“「パスワードの定期変更を行う目的」を2番の「漏洩リスク対策」”としてしか決して有効とは言えず,“「パスワードの定期変更を行う目的」を1番の推測リスク対策”としては無意味,あるいはほぼ意味をなさないとしか言えないからでしょう。 #これはひどい
2016-01-31 18:54:20なお,“「パスワードの定期変更を行う目的」を1番の推測リスク対策”としては無意味であると言いえるのは,たまたま漏えいして攻撃を受ける直前に変更された場合に意味を成すとしか考えられず,推測リスクを軽減する策足りえないと考えるからです。 #これはひどい
2016-01-31 18:57:11この点については,氏自身が“つまりどのようなケースについて検討しても「パスワードの定期変更を行う目的」としては1番の「パスワードを総当たりによって推測されることを防止する。」はその意義を見出せないということとなります。”と記述されています。 #これはひどい
2016-01-31 18:58:30しかし,“【「パスワードの定期変更は無意味」は好意的に受け止められる】”という点についても明らかな誤解があると考えられます。なぜならば,「パスワードの定期変更は無意味」が好意的に受け止められているとすれば,そのこと自体が大きな誤解を伴っていると考えるからです。 #これはひどい
2016-01-31 19:00:00「パスワードの定期変更は無意味」という論には,当然にその代替としてサービス提供者,そして利用者に一定の負担を強いるものであると考えます。それは,サービス側でのより安全性の確保される対策の用意,利用者の効果的なセキュリティ意識,対策を伴うであろうことからです。 #これはひどい
2016-01-31 19:01:34つまり,そのような誤解を与える状況をこそまずは改めるべきであろうと考えられ,それが情報セキュリティ, 情報技術学者として啓もうされるべきことなのではないか?と思わずにいられません。
2016-01-31 19:04:10ただでセキュリティは維持向上されることは決してなく,労せずに維持向上することなどできません。サービス提供者はそも漏えい対策ではなく漏えいしない対策を採るべきであり,利用者はサービスの重要度に鑑みてその必要性を考慮されるべきでしょう。
2016-01-31 19:06:22つまり,「パスワードの定期変更は無意味」との言説をどう評価するかは評価軸によって異なると言わざるを得ないのであり,言葉が独り歩きすれば誤解を与えるという論旨には賛同せざるを得ません。しかし,それはまさに「パスワードの定期変更は無意味《だと思う》」ということでしかないでしょう。
2016-01-31 19:09:10@keijitakeda せっかくブログを書くのなら、一度"パスワードの定期変更"、"おはらい"、"宝くじ"をセキュリティ対策として比較してみてください。特に有効に働く確率と実行コストという面で。 motivate.jp/archives/2016/…
2016-02-01 00:13:39