パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

連邦取引委員会、「パスワードを定期的に変更する必要は無い」という内容のブログ記事を公開」記事へのコメント

  • という議論は、以前から各所でされています。
    例えば徳丸さんのところ [hatena.ne.jp]とか。
    大谷さんは計算 [jnsa.org]もされています。

    IDやパスワードを変える意義としては、
    それらが漏えいし、なおかつサービス提供者がそれに気が付かないとか、黙っていたといった
    リスクに対処するためくらいしか思いつかないのですが。
    • 2番目のリンクで定期的変更が無意味な理由が3つ挙げられているが、どれもいまいちピンと来ない。

      第一の理由は、ユーザが定期的なパスワード変更を確実に実施するとは限らないことである。まず、ユーザにパスワードの定期的変更を呼び掛けただけでは、パスワードを変更しない。パスワードに有効期間を設けて変更を強制するしくみを導入すれば、この問題は解決するが、パスワード忘れに対応するための問い合わせ窓口の開設や再発行のための安全なしくみの提供が必要になるだろう。

      →Windowsを始め、たいていの最近のシステムには強制的にパスワードの有効期間を設ける仕組みが備わっているよね。
      そのような仕組みがない場合の話をされても、反論になっているとは思えない。
      むしろ、「サービスごとに別パスワードにする」ほうが、システム的な強制が困難じゃないの? それについてはコメントなし?

      第二の理由は、ユーザが定期的にパスワードを変更したとしても、使ったことがあるパスワードを使い回したり、他のWebサイトと同じタイミングでパスワードを変更したりと、リスクが十分に軽減されないおそれである。どこかひとつの他のサービスのセキュリティ対策が不十分でIDとパスワードが漏えいしてしまえば、残りのサービスも不正ログインされてしまう。それならば定期的な変更を強制せず、自社のサービス専用のパスワードを設定させるほうが、他のサービスのセキ

      • by Anonymous Coward on 2016年03月07日 21時10分 (#2976330)

        これだよね。

        「どんなパスワード運用にするのがより良いか」というのは有益な議論なのだが。
        その議論の結果をもって「理想的な運用以外は無意味」みたいな極論に走るのはセキュリティを理解してない馬鹿のすることなんだが、自覚がないらしいから始末に負えない。

        # もちろん「逆にセキュリティ的に脆弱性を作る」プラクティスは避けるべきだが「やらないよりはマシ」なものまで否定するのはおかしいってことで

        親コメント
        • by Anonymous Coward

          なんか、結論が断定的なわりに、論拠がフワッとしてるんだよねえ。

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...