アカウント名:
パスワード:
現実の鍵・・・鍵穴をスキャンされ合鍵を作られて侵入された、という話は中々聞かないので、誰も鍵を定期交換しない
サーバのパスワード・・・パスワードをクラックされ不正に知られて侵入された、という話がよく出るので、みんな定期的にパスワードを変える
こうして対比してみて気づいたのは、サーバのパスワードは破られるまでに時間がかかるから定期交換が効きますけど、現実の錠前って現場でサクッと破られるから定期交換しても意味ないですね。もし、現実の鍵が、破るには毎日ドアの前に通い詰めて少しずつ錠前を解析しないといけない代物だったら、サーバのパスワードで比喩しても通じそうです。
クラックされるより他のサイトから漏れるのが多い気がするので時間もかからず一瞬。どれもたとえ話でしかない
それはサービスの一般ユーザの話でしょ。
パスワードを破られる前の話なら、定期的に変えたところで破られる可能性は変わらないよ?パスワードが100として攻撃者が1から上がってくるとして、50まで来た時に、49に変更できたらセーフ。でも51に変更したらホームラン。まぁ結局変えたところで100分の1です。
変更が意味を成すのは破られた後にアクセスをブロックするためにやることです。その時はすでにアウトな状態です。破られる前の定期的な変更はセキュリティ上の効果はない。サーバーのパスワードを共有してて、メンバーが変わった時にそのメンバーのアクセス権を排除するために変更する、というのは当然の処置だが、これは定期的な変更とは言わない。もし、メンバー変わっても変更せず、アクセスしてはいけない旧メンバーがその後もアクセスできる状態にしておく状態こそが問題。だから、定期的に変更するのではなく、アクセス権者が変わったら変更する、が正しいと思う。
サーバーに侵入されるのって時間をかけてパスワードがクラックされるよりも、パスワードがひどく弱いものだったとか他の脆弱性を突いて認証機構を回避とかじゃないんですかね。そのサーバが狙われたということなら時間をかけて解析もするでしょうけど、そんなこと大多数の人には関係ないことでしょう
>現実の鍵・・・鍵穴をスキャンされ合鍵を作られて侵入された、という話は中々聞かないので、誰も鍵を定期交換しないスキャンするまでもなく、安物ならピッキングで入れちゃうから。
>現実の錠前って現場でサクッと破られるから定期交換しても意味ないですね。安物はね。高級品はそうでもないみたい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
鍵の質の違い (スコア:0)
現実の鍵・・・鍵穴をスキャンされ合鍵を作られて侵入された、という話は中々聞かないので、誰も鍵を定期交換しない
サーバのパスワード・・・パスワードをクラックされ不正に知られて侵入された、という話がよく出るので、みんな定期的にパスワードを変える
こうして対比してみて気づいたのは、
サーバのパスワードは破られるまでに時間がかかるから定期交換が効きますけど、
現実の錠前って現場でサクッと破られるから定期交換しても意味ないですね。
もし、現実の鍵が、破るには毎日ドアの前に通い詰めて少しずつ錠前を解析しないといけない代物だったら、
サーバのパスワードで比喩しても通じそうです。
Re: (スコア:0)
クラックされるより他のサイトから漏れるのが多い気がするので時間もかからず一瞬。どれもたとえ話でしかない
Re: (スコア:0)
それはサービスの一般ユーザの話でしょ。
Re: (スコア:0)
パスワードを破られる前の話なら、定期的に変えたところで破られる可能性は変わらないよ?
パスワードが100として攻撃者が1から上がってくるとして、
50まで来た時に、49に変更できたらセーフ。でも51に変更したらホームラン。
まぁ結局変えたところで100分の1です。
変更が意味を成すのは破られた後にアクセスをブロックするためにやることです。その時はすでにアウトな状態です。
破られる前の定期的な変更はセキュリティ上の効果はない。
サーバーのパスワードを共有してて、メンバーが変わった時にそのメンバーのアクセス権を排除するために変更する、というのは当然の処置だが、これは定期的な変更とは言わない。
もし、メンバー変わっても変更せず、アクセスしてはいけない旧メンバーがその後もアクセスできる状態にしておく状態こそが問題。
だから、定期的に変更するのではなく、アクセス権者が変わったら変更する、が正しいと思う。
Re: (スコア:0)
サーバーに侵入されるのって時間をかけてパスワードがクラックされるよりも、
パスワードがひどく弱いものだったとか他の脆弱性を突いて認証機構を回避とかじゃないんですかね。
そのサーバが狙われたということなら時間をかけて解析もするでしょうけど、そんなこと大多数の人には関係ないことでしょう
Re: (スコア:0)
>現実の鍵・・・鍵穴をスキャンされ合鍵を作られて侵入された、という話は中々聞かないので、誰も鍵を定期交換しない
スキャンするまでもなく、安物ならピッキングで入れちゃうから。
>現実の錠前って現場でサクッと破られるから定期交換しても意味ないですね。
安物はね。高級品はそうでもないみたい。