アカウント名:
パスワード:
永遠はないよ……。ハッキング(or クラッキング)されるまでが寿命。
短ければ短いほどセキュアとはいえ、運用上は長い方がUIとしてはよい。
バカな自分に教えて欲しいのだけど、パスワードを定期的に変えるのって、本当にセキュリティ上有効なんでしょか。
個人的にはログイン履歴(成功失敗とも)が確認できて、かつ失敗のログをユーザに通知する方が有効期間を設けるより意味があるんじゃないかと思います。定期的に変更だと例えばパスワードAとB(足りなければCも)を入れ替えて終わりとかやって結局無意味だったりということも間違いなくある。
それと気になるのがネットバンキングなどサーバ側の対応。連続失敗制限とかやってるのかな? 使ってるサービスでそういう注意書きを見たことが無い。同一端末(IPアドレスとCookieの複合とか)からのログイン試行を10回/時までに制限するとか。そういう対策なしにパスワードの変更を強要するのはお門違いと感じる。
# Googleのアカウントアクティビティは失敗まではわからなかったかな?
それと気になるのがネットバンキングなどサーバ側の対応。連続失敗制限とかやってるのかな? 使ってるサービスでそういう注意書きを見たことが無い。
私の使っている銀行だと3回失敗でしばらくログインできなくなり、アクセス失敗したよ、ってメールが届きます。
3回でサービス停止とかはやってるみたいだけど(例:みずほ)それよりも、やばくなってサービス廃止しちゃうところもあるようです。どことは言いませんが、三菱東京UFJ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
パスワードの寿命 (スコア:0)
永遠はないよ……。ハッキング(or クラッキング)されるまでが寿命。
短ければ短いほどセキュアとはいえ、運用上は長い方がUIとしてはよい。
Re: (スコア:0)
バカな自分に教えて欲しいのだけど、パスワードを定期的に変えるのって、本当にセキュリティ上有効なんでしょか。
Re: (スコア:0)
個人的にはログイン履歴(成功失敗とも)が確認できて、かつ失敗のログをユーザに通知する方が有効期間を設けるより意味があるんじゃないかと思います。
定期的に変更だと例えばパスワードAとB(足りなければCも)を入れ替えて終わりとかやって結局無意味だったりということも間違いなくある。
それと気になるのがネットバンキングなどサーバ側の対応。
連続失敗制限とかやってるのかな? 使ってるサービスでそういう注意書きを見たことが無い。
同一端末(IPアドレスとCookieの複合とか)からのログイン試行を10回/時までに制限するとか。
そういう対策なしにパスワードの変更を強要するのはお門違いと感じる。
# Googleのアカウントアクティビティは失敗まではわからなかったかな?
Re: (スコア:0)
それと気になるのがネットバンキングなどサーバ側の対応。
連続失敗制限とかやってるのかな? 使ってるサービスでそういう注意書きを見たことが無い。
私の使っている銀行だと3回失敗でしばらくログインできなくなり、アクセス失敗したよ、ってメールが届きます。
Re:パスワードの寿命 (スコア:0)
3回でサービス停止とかはやってるみたいだけど(例:みずほ)それよりも、やばくなってサービス廃止しちゃうところもあるようです。どことは言いませんが、三菱東京UFJ