パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

連邦取引委員会、「パスワードを定期的に変更する必要は無い」という内容のブログ記事を公開」記事へのコメント

  • という議論は、以前から各所でされています。
    例えば徳丸さんのところ [hatena.ne.jp]とか。
    大谷さんは計算 [jnsa.org]もされています。

    IDやパスワードを変える意義としては、
    それらが漏えいし、なおかつサービス提供者がそれに気が付かないとか、黙っていたといった
    リスクに対処するためくらいしか思いつかないのですが。
    • 2番目のリンクで定期的変更が無意味な理由が3つ挙げられているが、どれもいまいちピンと来ない。

      第一の理由は、ユーザが定期的なパスワード変更を確実に実施するとは限らないことである。まず、ユーザにパスワードの定期的変更を呼び掛けただけでは、パスワードを変更しない。パスワードに有効期間を設けて変更を強制するしくみを導入すれば、この問題は解決するが、パスワード忘れに対応するための問い合わせ窓口の開設や再発行のための安全なしくみの提供が必要になるだろう。

      →Windowsを始め、たいていの最近のシステムには強制的にパスワードの有効期間を設ける仕組みが備わっているよね。
      そのような仕組みがない場合の話をされても、反論になっているとは思えない。
      むしろ、「サービスごとに別パスワードにする」ほうが、システム的な強制が困難じゃないの? それについてはコメントなし?

      第二の理由は、ユーザが定期的にパスワードを変更したとしても、使ったことがあるパスワードを使い回したり、他のWebサイトと同じタイミングでパスワードを変更したりと、リスクが十分に軽減されないおそれである。どこかひとつの他のサービスのセキュリティ対策が不十分でIDとパスワードが漏えいしてしまえば、残りのサービスも不正ログインされてしまう。それならば定期的な変更を強制せず、自社のサービス専用のパスワードを設定させるほうが、他のサービスのセキ

      • by Anonymous Coward on 2016年03月08日 15時27分 (#2976878)
        ・糞めんどくさい割にセキュリティが向上しない
        ・糞めんどくさい運用を強制されたユーザはあらゆる方法でセキュリティを下げる努力を始める(付箋とかな)
        この2点以外に何か理由いる?
        親コメント

計算機科学者とは、壊れていないものを修理する人々のことである

処理中...