パスワード定期変更が機能する条件を考えていたら、有意義な会話ができた件
-
tomiomukari
- 1538
- 7
- 0
- 0
-
- いいね!0
とめ
@tomiomukari
パスワード定期変更が機能する条件を考えてみた(^^) 1. パスワードが漏洩したことがサイト運営者、利用者が気づいていない 2. 攻撃者がパスワードを入手してから、又は有効性を確認してから実際の攻撃をするまでに一定の間隔(パスワード定期変更期間よりも長い)がある 続く
2016-06-26 12:28:50
とめ
@tomiomukari
続き 3. 最終ログイン時間を利用者が知ることができない、又は利用者が知ろうとしない 4. 漏洩による直接的な被害(ネット送金、ネットショッピングなど)が分かりにくい 5. 攻撃者がパスワード等を変更しない 続く
2016-06-26 12:28:55
とめ
@tomiomukari
続き 考えてたら結構いろいろあった でも最低これくらいの条件が揃わないと、パスワード定期変更は意味がないと思われる。 これで「パスワード定期変更は無意味ではない」って言われても、「人体が壁をすり抜けられる」って言うのとそんなに違いを感じないなぁ(´・ω・`)
2016-06-26 12:29:02
keijitakeda
@keijitakeda
@tomiomukari 私は「1. パスワードが漏洩したことがサイト運営者、利用者が気づいていない 2. 攻撃者がパスワードを入手してから、又は有効性を確認してから実際の攻撃をするまでに一定の間隔(パスワード定期変更期間よりも長い)がある」は結構発生する事象だと認識しています。
2016-06-26 12:40:52
keijitakeda
@keijitakeda
@tomiomukari 失礼しました「3. 最終ログイン時間を利用者が知ることができない、又は利用者が知ろうとしない 4. 漏洩による直接的な被害(ネット送金、ネットショッピングなど)が分かりにくい 5. 攻撃者がパスワード等を変更しない」も含めたとしてもよくある事象と思います
2016-06-26 12:46:07
とめ
@tomiomukari
…本当にですか? 当然専門家ですから「実例」をご存じですよね? よくある、との事ですし、ぜひこの5つすべてが該当する事例を教えてくださいm(_ _)m twitter.com/keijitakeda/st…
2016-06-26 12:48:57
keijitakeda
@keijitakeda
@tomiomukari 長期にわたるメールへの不正アクセスはその例ですね。先日も多くの芸能人のアカウントを長期にわたり盗み見ていた事件がありましたね。
2016-06-26 13:02:35
とめ
@tomiomukari
@keijitakeda 長期ってどのくらいでしたでしょうか? また、この例であげられたのは「パスワード強度がなかった」事の方が問題かと思いますが… (パスワード定期変更で被害が防げた事例ではなく、パスワード強度が強ければ被害が防げた事例)
2016-06-26 13:13:59
とめ
@tomiomukari
ああ、意味がわかった。「パスワード定期変更が効果のある条件」を挙げたんだけど「パスワード定期変更が効果がある」をすっ飛ばして条件にあう案件をぶっこんで来たのか… 条件に「他の対策を行っている」を入れておかなかったのが悔やまれるorz twitter.com/keijitakeda/st…
2016-06-26 13:27:29
keijitakeda
@keijitakeda
@tomiomukari 「パスワード定期変更が効果のある条件」の定義に「パスワード定期変更が効果のある」を含めてしまうとそれは条件の話ではなくなってしまいますね。
2016-06-26 13:37:24
とめ
@tomiomukari
時間がとれないのでこれで最後にしますが、「パスワード定期変更が効果のある」をすっ飛ばして、と書いたのですが。 お立場のある方ですから、一部だけを抜き出したり歪曲してツイートされますのはどうかと思いますが… twitter.com/keijitakeda/st…
2016-06-26 17:52:37
keijitakeda
@keijitakeda
@tomiomukari 「「パスワード定期変更が効果のある」をすっ飛ばして、と書いた」は何を意味されているのでしょうか。「すっ飛ばして」が具体的に何を指すのかの認識が異なるようです。
2016-06-26 17:57:06
とめ
@tomiomukari
最後といいながら続けますが(^_^;) パスワード定期変更が有効かどうか、の思考実験にパスワード自体が穴、なんて前提はいれませんて。 挙げていた例も「パスワード定期変更してたらよかった」なんてコメントはなく「類推されやすいパスワードがよくなかった」って話だったし
2016-06-26 17:56:00
keijitakeda
@keijitakeda
@tomiomukari 「パスワード定期変更してたらよかった」なんて話はしていませんよ。変更していたら防げた事例を示しているまでです。
2016-06-26 17:58:00
とめ
@tomiomukari
@keijitakeda 本当に最後だけ。私は「定期変更してよかった」と言えるパターンを探していただけです。他の対策が有効なパターンは探していません。他人の思考実験に参加される場合には、相手に合わせないと行けませんよ。自分勝手の理論を押し付けられても「はあ」としか言えません
2016-06-26 18:05:34
keijitakeda
@keijitakeda
@tomiomukari 「他の対策を行っている」については「他の対策を何も行っていないケース」はさすがにないでしょうから、この条件を追加してもあまり対象となるケースは変化しないのではないでしょうか。
2016-06-26 13:38:48
keijitakeda
@keijitakeda
@tomiomukari 他の方の話と混乱していた部分がありました。すみません。「他の対策が有効なパターン」を除外するならばパスワードの「定期変更をしてよかった」と言えるパターンは存在しないかと思います。
2016-06-26 18:22:03
keijitakeda
@keijitakeda
@tomiomukari 先ほどのツイート、「『他の対策が有効なパターン』において『定期変更をしてよかった』と言えるパターンは存在しないということを言いたかったのですが、何だか表現が変になってしまいました。念のため訂正しておきます。
2016-06-26 21:34:42