アカウント名:
パスワード:
最近散見される、Subject にアカウントとパスワードを書いた、「おまえのアカウントとパスワード知ってるぞ、荒らされたくなければビットコインよこせ」なメールって、このデータを元にしてるのかな。
昔流行った無料ホームページで使った情報で来るから、多分そういうところから流れてくるものをデータベースにしてるんだろうなぁ。古いデータなので放置していますが。
まさか、こんなところで、パスワードの定期変更の有用性が証明されるとは!迷惑な話だ
パスワードの使いまわししてなければ、そもそも流出してもそのアカウントだけパスワードの定期変更をしていても、そのサービスがハッキングされた段階で情報取られるので定期変更の意味はなし
定期変更の有用性はないですよ
ないわけではない。定期変更していればそのサービスの継続的な乗っ取りを回避できる。作業コストが高いゆえ不利益の多い方策ではあるが、それ自体に効果が無い訳では無い。定期変更を強要すると強度の低いパスワードが使われやすく結果リスクが上がるとは言われるが、それはそもそも運用の甘さに問題があり、もっと作業コストをかけて強度の高く乱雑なパスワードを使用させなければ何の意味もない。逆に作業コストがゼロで済むのなら、定期変更策は十分検討に値する安全策になる。
定期変更が無駄と念仏のように言い切る主張があるが、その発言の論理性に疑問を抱かずにいられない。彼らには定期的に(それは1秒でも1年でもあり得るが)鍵を変えるシステムを全て否定しそうな勢いを感じる。
パスワードの定期変更は無駄といわれるのは、有効にするために医薬品の注意書き並みに細かい附則事項を守りきる必要があるからです。作業コストが減りはすれど0になることは絶対にありません。得られるメリットに対するコストが高すぎる、要するに費用対効果が低すぎるため、定期変更は無駄と言い切られているのです。定期変更よりも多要素認証を使ったほうがはるかに低コストで高セキュリティを実現できます。そこまで定期変更にこだわる理由は何なのでしょう。武田先生なのでしょうか。
んで、Recaptchaとかいう人をイライラさせるだけのものに変わる認証ツールは出来ましたか?
reCAPTCHAはこういう場でいう多要素認証とはべつもんボット対策のためのものだし
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
アカウント人質メール (スコア:4, 興味深い)
最近散見される、Subject にアカウントとパスワードを書いた、「おまえのアカウントとパスワード知ってるぞ、荒らされたくなければビットコインよこせ」なメールって、このデータを元にしてるのかな。
昔流行った無料ホームページで使った情報で来るから、多分そういうところから流れてくるものをデータベースにしてるんだろうなぁ。古いデータなので放置していますが。
ほえほえ
Re: (スコア:0)
まさか、こんなところで、パスワードの定期変更の有用性が証明されるとは!
迷惑な話だ
Re: (スコア:0)
パスワードの使いまわししてなければ、そもそも流出してもそのアカウントだけ
パスワードの定期変更をしていても、そのサービスがハッキングされた段階で情報取られるので
定期変更の意味はなし
定期変更の有用性はないですよ
Re: (スコア:0)
ないわけではない。定期変更していればそのサービスの継続的な乗っ取りを回避できる。
作業コストが高いゆえ不利益の多い方策ではあるが、それ自体に効果が無い訳では無い。
定期変更を強要すると強度の低いパスワードが使われやすく結果リスクが上がるとは言われるが、
それはそもそも運用の甘さに問題があり、もっと作業コストをかけて強度の高く乱雑なパスワードを使用させなければ何の意味もない。
逆に作業コストがゼロで済むのなら、定期変更策は十分検討に値する安全策になる。
定期変更が無駄と念仏のように言い切る主張があるが、その発言の論理性に疑問を抱かずにいられない。
彼らには定期的に(それは1秒でも1年でもあり得るが)鍵を変えるシステムを全て否定しそうな勢いを感じる。
Re: (スコア:0)
パスワードの定期変更は無駄といわれるのは、有効にするために医薬品の注意書き並みに細かい附則事項を守りきる必要があるからです。
作業コストが減りはすれど0になることは絶対にありません。
得られるメリットに対するコストが高すぎる、要するに費用対効果が低すぎるため、定期変更は無駄と言い切られているのです。
定期変更よりも多要素認証を使ったほうがはるかに低コストで高セキュリティを実現できます。
そこまで定期変更にこだわる理由は何なのでしょう。武田先生なのでしょうか。
Re: (スコア:0)
んで、Recaptchaとかいう人をイライラさせるだけのものに変わる認証ツールは出来ましたか?
Re:アカウント人質メール (スコア:0)
reCAPTCHAはこういう場でいう多要素認証とはべつもん
ボット対策のためのものだし