パスワードの定期変更に関するブログエントリー(2016年版)に対する反応のまとめ
-
keijitakeda
- 3296
- 11
- 1
- 0
-
- いいね!0
mohno
@mohno
概ね同意なんだけど「パスワードの定期変更は無意味」は「定期変更させておけば大丈夫」という運営の浅慮に対する戒めを簡略化した表現なのだ、という視点はあると思う(そういう主張がなされているかは知らない)。 / “武田圭史 » 【パス…” htn.to/PbW4Ny
2016-02-01 01:44:54
ɐʇıɥsɐɯɐʎ@5691ɔɐ
@ac1965
パスワード変更について定期的という表現は「一定の期間を超えないうちに」だそうだ。無理があるなぁ^^; motivate.jp/archives/2016/…
2016-02-01 05:37:07
Yasuo Nakanishi
@nakanishiyasuo
@keijitakeda おおっ、これは興味深いですね。通常、パスワードで守られる情報の価値を膨大な額にしないかぎりは宝くじの方がコスパがいいのですが、どういった場合でパスワードの定期変更の方がコスパが良くなるのか興味があります。 続く ...
2016-02-01 09:04:25
Yasuo Nakanishi
@nakanishiyasuo
@keijitakeda Twitterで詳細はムリでしょうからブログでどういった仮説を置いてどういう計算をされたのか楽しみにしています。
2016-02-01 09:04:42
Yasuo Nakanishi
@nakanishiyasuo
@keijitakeda それと、"おはらい"(特に効果が発揮したのが認識できないケース)との比較はいかがでしょうか?どちらも低い確率で効果を発揮する。効果が発揮したのを認識できないという共通点があるので、どちらがマシなセキュリティ対策なのか?という比較は有意義になると思います。
2016-02-01 09:07:11
Yasuo Nakanishi
@nakanishiyasuo
宝くじの方がコスパがいいとかちゃんとに計算したのかな?でも宝くじよりコスパがいいってわかれば、オレ明日から毎日パスワード変更する!ってのた出てくると思うので、セキュリティ対策としてはいいのかもね?(そんなことない
2016-02-01 09:13:23
keijitakeda
@keijitakeda
@nakanishiyasuo 「通常、パスワードで守られる情報の価値を膨大な額にしないかぎりは宝くじの方がコスパがいいのですが」がどうしてそうなるのかわかりませんでした。コスパというのは通常費用対効果の比で表現されるのでコストや発生確率も考慮する必要があるのではないでしょうか?
2016-02-01 10:08:08
Yasuo Nakanishi
@nakanishiyasuo
@keijitakeda その通りです、両方とも効果を発揮する確率が低いという前提で、宝くじ=実行コスト低、利益大、パスワードの定期変更=実行コスト高、利益低 という比較なので、通常は宝くじの方がコスパがいいのですが、パラメータの設定によっては変わってくるとは思います。
2016-02-01 10:11:58
keijitakeda
@keijitakeda
@nakanishiyasuo ありがとうございます。「パラメータの設定によっては変わってくるとは思います。」が私が言いたかったことで「宝くじ=実行コスト低、利益大、パスワードの定期変更=実行コスト高、利益低 」などのように一律に決めつけることはできないのではと思っています。
2016-02-01 10:21:14
Yasuo Nakanishi
@nakanishiyasuo
@keijitakeda ちなみに、宝くじの方がいい場合もあるということは、宝くじも有効なセキュリティ対策になりえると考えていると理解していいのですか?
2016-02-01 10:29:01
keijitakeda
@keijitakeda
@nakanishiyasuo 私を含め普通そうは考えないと思いますが、ご自身はそういうつもりでこれを書かれたのですか?→「通常、パスワードで守られる情報の価値を膨大な額にしないかぎりは宝くじの方がコスパがいいのですが」
2016-02-01 10:32:25
Yasuo Nakanishi
@nakanishiyasuo
@keijitakeda もちろん、宝くじがセキュリティ対策として不適切なのは自明なことです。同じように運任せなのパスワードの定期変更がセキュリティ対策として不適切なのも自明なことだと思いますが・・・
2016-02-01 12:24:03
keijitakeda
@keijitakeda
@nakanishiyasuo パスワードも暗号もハッシュも確率事象を扱う以上、運任せということになりますが不適切でしょうか。
2016-02-01 12:41:55
Yasuo Nakanishi
@nakanishiyasuo
@keijitakeda 仕組みが確立に依存してしまうことと、セキュリティ対策として、コスパを検証する時の確立は別のものですよね?パスワードの定期変更は有効に働く可能性がとても低いのに、実行コストが大きい事が問題なわけです。計算してみれば宝くじのほうがマシって分かると思います。
2016-02-01 12:55:11
keijitakeda
@keijitakeda
@Ivarn この文脈で「定期的に」を文字どおり解釈している人はそれほど多くないと思っていましたが、「意味がない」という人にとってそこの差異は大きいという認識をされているということでしょうか。私はあまりに自明で取り上げて説明する必要もないと思いましたが。
2016-02-01 13:01:26
keijitakeda
@keijitakeda
@nakanishiyasuo ご自身が「パラメータの設定によっては変わってくるとは思います。」と書かれたように、高い確率で大きなリスクが存在する状況で、小さいコストで定期変更を行えば、宝くじよりも割にあう状況は存在しうるのではないでしょうか?
2016-02-01 13:04:24
Yasuo Nakanishi
@nakanishiyasuo
@keijitakeda パスワードで一兆円を守っているとか、パスワードが漏洩しているのが分かっているなど、非現実な状況を設定しない限り、宝くじの方がましとなると思います。そうでないと思うのなら、具体的に大きなリスクの状況を設定してみてください。
2016-02-01 13:17:19
Yasuo Nakanishi
@nakanishiyasuo
@keijitakeda どれくらいの確率でパスワードの定期変更が有効に働いて、どれくらいの被害金額をそうていしているのですか?
2016-02-01 13:25:06
アイヴァーン
@Ivarn
@keijitakeda 記事でご説明されていた「無意味」という単語を用いられる背景と同程度には、「定期的」という単語の表す意味も誤解を与えるのではないか?と考えています。本当に極論すれば、問題を察知して変更出来れば期間は考慮に値せず、変更することにも意味がある、となり得ます。
2016-02-01 13:25:29
アイヴァーン
@Ivarn
@keijitakeda つまり、問題の本質はパスワードの変更自体ではなく、それをどのように行うか?ということだ!と言明されるべきなのではないでしょうか?
2016-02-01 13:26:32