アカウント名:
パスワード:
永遠はないよ……。ハッキング(or クラッキング)されるまでが寿命。
短ければ短いほどセキュアとはいえ、運用上は長い方がUIとしてはよい。
バカな自分に教えて欲しいのだけど、パスワードを定期的に変えるのって、本当にセキュリティ上有効なんでしょか。
攻撃すべき正解候補が現実的な時間内に枯渇してしまうという状況下で、攻撃が成功しないうちに正解候補を初期値にリセットすることで、強度を一定に保ちましょうって話だもん。
すべてのパスワードは確率の問題(=攻撃済みパスワード数/文字種パスワード長)でしか強度を保証しないから、それが時間の経過と共に無視できないほど急激に低下する、言ってみればセキュリティ的に既に詰んでる状況下でシステム運用しなきゃいけない、ある意味無理ゲー状態の想定で始めて意味を持つ対策ね。
パスワードを最大8文字しか受け付けてくれないとか、パスワード何回間違ってもシステムにロックがかからないとか、パスワードハッシュが漏洩してる可能性があるとか、そういう状況がない限りは完全に杞憂の類。過去のUNIXが、まさにそいういう状況だったとは言え、未だにこれ推奨してる人は頭おかしい(これ推奨するまえに使ってるシステム見直せ!と言う意味で)。
ウイルスに感染したとか、キーロガーに引っかかった可能性(自分の管理下にないPCでパスワードを使った)とかは、既にパスワード自体が漏洩してる可能性が高い場合の事後対応的な話なので、定期的に変える話とは別の話ね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
パスワードの寿命 (スコア:0)
永遠はないよ……。ハッキング(or クラッキング)されるまでが寿命。
短ければ短いほどセキュアとはいえ、運用上は長い方がUIとしてはよい。
Re: (スコア:0)
バカな自分に教えて欲しいのだけど、パスワードを定期的に変えるのって、本当にセキュリティ上有効なんでしょか。
ブルートフォースが成立するという前提があって始めて意味を持つ対策 (スコア:0)
攻撃すべき正解候補が現実的な時間内に枯渇してしまうという状況下で、攻撃が成功しないうちに正解候補を初期値にリセットすることで、強度を一定に保ちましょうって話だもん。
すべてのパスワードは確率の問題(=攻撃済みパスワード数/文字種パスワード長)でしか強度を保証しないから、それが時間の経過と共に無視できないほど急激に低下する、言ってみればセキュリティ的に既に詰んでる状況下でシステム運用しなきゃいけない、ある意味無理ゲー状態の想定で始めて意味を持つ対策ね。
パスワードを最大8文字しか受け付けてくれないとか、パスワード何回間違ってもシステムにロックがかからないとか、パスワードハッシュが漏洩してる可能性があるとか、そういう状況がない限りは完全に杞憂の類。過去のUNIXが、まさにそいういう状況だったとは言え、未だにこれ推奨してる人は頭おかしい(これ推奨するまえに使ってるシステム見直せ!と言う意味で)。
ウイルスに感染したとか、キーロガーに引っかかった可能性(自分の管理下にないPCでパスワードを使った)とかは、既にパスワード自体が漏洩してる可能性が高い場合の事後対応的な話なので、定期的に変える話とは別の話ね。