アカウント名:
パスワード:
最近散見される、Subject にアカウントとパスワードを書いた、「おまえのアカウントとパスワード知ってるぞ、荒らされたくなければビットコインよこせ」なメールって、このデータを元にしてるのかな。
昔流行った無料ホームページで使った情報で来るから、多分そういうところから流れてくるものをデータベースにしてるんだろうなぁ。古いデータなので放置していますが。
まさか、こんなところで、パスワードの定期変更の有用性が証明されるとは!迷惑な話だ
パスワードの使いまわししてなければ、そもそも流出してもそのアカウントだけパスワードの定期変更をしていても、そのサービスがハッキングされた段階で情報取られるので定期変更の意味はなし
定期変更の有用性はないですよ
最近のgmailとかだと○○からアクセスがあったけどあなたのですか?みたいに教えてくれるけれど、ちょっと前だとメールの中身をずっと見られていた人とかもいるしな。自分は定期的にパスワードを変えてるよ。
あれ、メーラーが同時に複数のサーバの接続を並行して行うタイプで、gmailの複数のアカウントに同時接続するとgoogleが「不正な接続があったのでロックした」ってよく言ってきてうっとおしい。
それだったら2段階認証のほうが良いのでは?「他のすべての Web セッションからログアウト」という機能もありますし。
「おまえのアカウントとパスワード知ってるぞ」のパスワードが昔のパスワードだったら、脅しとしてかなり弱いと思わない?
だから、その人質メールは無視しても構わないだろうけどさ、その新しいパスワードで何を守ってるの? 精神衛生?
ないわけではない。定期変更していればそのサービスの継続的な乗っ取りを回避できる。作業コストが高いゆえ不利益の多い方策ではあるが、それ自体に効果が無い訳では無い。定期変更を強要すると強度の低いパスワードが使われやすく結果リスクが上がるとは言われるが、それはそもそも運用の甘さに問題があり、もっと作業コストをかけて強度の高く乱雑なパスワードを使用させなければ何の意味もない。逆に作業コストがゼロで済むのなら、定期変更策は十分検討に値する安全策になる。
定期変更が無駄と念仏のように言い切る主張があるが、その発言の論理性に疑問を抱かずにいられない。彼らには定期的に(それは1秒でも1年でもあり得るが)鍵を変えるシステムを全て否定しそうな勢いを感じる。
乗っ取られた時点でパスワードや住所もろもろ変えられたら継続的に乗っ取られる
まぁ定期変更でもなんでも、そこらへんは併用できるんで十分な強度のあるパスワードを設定し、使い回さないって前提があれば定期的に変更するのもいいんじゃないかな
ワンタイムパスワードでも使ってろとしか。
パスワードの定期変更は無駄といわれるのは、有効にするために医薬品の注意書き並みに細かい附則事項を守りきる必要があるからです。作業コストが減りはすれど0になることは絶対にありません。得られるメリットに対するコストが高すぎる、要するに費用対効果が低すぎるため、定期変更は無駄と言い切られているのです。定期変更よりも多要素認証を使ったほうがはるかに低コストで高セキュリティを実現できます。そこまで定期変更にこだわる理由は何なのでしょう。武田先生なのでしょうか。
んで、Recaptchaとかいう人をイライラさせるだけのものに変わる認証ツールは出来ましたか?
reCAPTCHAはこういう場でいう多要素認証とはべつもんボット対策のためのものだし
定期変更を強制するのはよいとは言えないのはその通りだと思います。が、そのためだけに全社員に携帯電話を配れないので多要素認証に切り替えられない。私物の電話は業務では使わないというポリシーもあるし、そもそも私用の電話では多要素認証の意味は薄そう。となると、パスワードの定期変更は無駄とは言い切りにくい、と考えてます。
その用途は最も定期変更がアウトな例
管理側で生成したパスワード渡して変更させないようにしたほうがまし
覚えられないっていうならYubikeyなどのFIDO導入して配ればいい1個あたり$10で買え、まとめ買いならさらに安くなる
>管理側で生成したパスワード渡して変更させないようにしたほうがまし本人のみが知っているべきパスワードを管理側で作って変更不可というのはあり得ないです。不正利用(アカウント共用、なりすまし等)されているかどうかが判らないのでダメです。(サインインログなどからあり得ない行動を検知して不正利用を見つけるというのも100%ではないので)
Yubikeyよいけど、1個10$でも人数が多くて結構な金額になります…ホントはこう言うヤツ使うべきだとはおもいますがね。
作業コストが減りはすれど0になることは絶対にありません。
なんで?自動化できるユースケースだって普通にあるでしょ。どうして絶対なんて思うの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
アカウント人質メール (スコア:4, 興味深い)
最近散見される、Subject にアカウントとパスワードを書いた、「おまえのアカウントとパスワード知ってるぞ、荒らされたくなければビットコインよこせ」なメールって、このデータを元にしてるのかな。
昔流行った無料ホームページで使った情報で来るから、多分そういうところから流れてくるものをデータベースにしてるんだろうなぁ。古いデータなので放置していますが。
ほえほえ
Re: (スコア:0)
まさか、こんなところで、パスワードの定期変更の有用性が証明されるとは!
迷惑な話だ
Re:アカウント人質メール (スコア:0)
パスワードの使いまわししてなければ、そもそも流出してもそのアカウントだけ
パスワードの定期変更をしていても、そのサービスがハッキングされた段階で情報取られるので
定期変更の意味はなし
定期変更の有用性はないですよ
Re: (スコア:0)
最近のgmailとかだと○○からアクセスがあったけどあなたのですか?みたいに教えてくれるけれど、
ちょっと前だとメールの中身をずっと見られていた人とかもいるしな。
自分は定期的にパスワードを変えてるよ。
Re: (スコア:0)
あれ、メーラーが同時に複数のサーバの接続を並行して
行うタイプで、gmailの複数のアカウントに同時接続すると
googleが「不正な接続があったのでロックした」って
よく言ってきてうっとおしい。
Re: (スコア:0)
それだったら2段階認証のほうが良いのでは?
「他のすべての Web セッションからログアウト」という機能もありますし。
Re: (スコア:0)
「おまえのアカウントとパスワード知ってるぞ」のパスワードが昔のパスワードだったら、脅しとしてかなり弱いと思わない?
Re: (スコア:0)
だから、その人質メールは無視しても構わないだろうけどさ、
その新しいパスワードで何を守ってるの? 精神衛生?
Re: (スコア:0)
ないわけではない。定期変更していればそのサービスの継続的な乗っ取りを回避できる。
作業コストが高いゆえ不利益の多い方策ではあるが、それ自体に効果が無い訳では無い。
定期変更を強要すると強度の低いパスワードが使われやすく結果リスクが上がるとは言われるが、
それはそもそも運用の甘さに問題があり、もっと作業コストをかけて強度の高く乱雑なパスワードを使用させなければ何の意味もない。
逆に作業コストがゼロで済むのなら、定期変更策は十分検討に値する安全策になる。
定期変更が無駄と念仏のように言い切る主張があるが、その発言の論理性に疑問を抱かずにいられない。
彼らには定期的に(それは1秒でも1年でもあり得るが)鍵を変えるシステムを全て否定しそうな勢いを感じる。
Re: (スコア:0)
乗っ取られた時点でパスワードや住所もろもろ変えられたら継続的に乗っ取られる
まぁ定期変更でもなんでも、そこらへんは併用できるんで
十分な強度のあるパスワードを設定し、使い回さないって前提があれば
定期的に変更するのもいいんじゃないかな
Re: (スコア:0)
ワンタイムパスワードでも使ってろとしか。
Re: (スコア:0)
パスワードの定期変更は無駄といわれるのは、有効にするために医薬品の注意書き並みに細かい附則事項を守りきる必要があるからです。
作業コストが減りはすれど0になることは絶対にありません。
得られるメリットに対するコストが高すぎる、要するに費用対効果が低すぎるため、定期変更は無駄と言い切られているのです。
定期変更よりも多要素認証を使ったほうがはるかに低コストで高セキュリティを実現できます。
そこまで定期変更にこだわる理由は何なのでしょう。武田先生なのでしょうか。
Re: (スコア:0)
んで、Recaptchaとかいう人をイライラさせるだけのものに変わる認証ツールは出来ましたか?
Re: (スコア:0)
reCAPTCHAはこういう場でいう多要素認証とはべつもん
ボット対策のためのものだし
Re: (スコア:0)
定期変更を強制するのはよいとは言えないのはその通りだと思います。
が、そのためだけに全社員に携帯電話を配れないので多要素認証に切り替えられない。
私物の電話は業務では使わないというポリシーもあるし、そもそも私用の電話では多要素認証の意味は薄そう。
となると、パスワードの定期変更は無駄とは言い切りにくい、と考えてます。
Re: (スコア:0)
その用途は最も定期変更がアウトな例
管理側で生成したパスワード渡して変更させないようにしたほうがまし
覚えられないっていうならYubikeyなどのFIDO導入して配ればいい
1個あたり$10で買え、まとめ買いならさらに安くなる
Re: (スコア:0)
>管理側で生成したパスワード渡して変更させないようにしたほうがまし
本人のみが知っているべきパスワードを管理側で作って変更不可というのはあり得ないです。
不正利用(アカウント共用、なりすまし等)されているかどうかが判らないのでダメです。
(サインインログなどからあり得ない行動を検知して不正利用を見つけるというのも100%ではないので)
Yubikeyよいけど、1個10$でも人数が多くて結構な金額になります…ホントはこう言うヤツ使うべきだとはおもいますがね。
Re: (スコア:0)
作業コストが減りはすれど0になることは絶対にありません。
なんで?自動化できるユースケースだって普通にあるでしょ。
どうして絶対なんて思うの?