パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「パスワードの定期的変更」は基本的には無意味」記事へのコメント

  • パスワードをマメに変更すると言うことは、覚えきれないので
    どこかに紙に書いたり、エディタにメモったりする機会が増えると言うこと。
    となれば、その紙だのデータだのそのものが漏洩しやすくなる。

    一度パスワードを決めたら動かす必要がない、というほうが安全。

    未だに銀行のネットバンキングにログインすると
    「パスワードが長期間更新されていません」
    とか出る。何かあったときの責任逃れのためかとすら思える。

    • 一番最後の文字を"1"にする。
      expire されたら"2"にする。
      さらにexpireされたら"1"に戻す。
      なんて余計な作業が発生するだけだったりしますね。

      親コメント
      • by Anonymous Coward

        「直前3回までに使用されたパスワードは使用出来ません」

        #そして0→9のループが始まる

        • by Anonymous Coward

          モデムのリダイヤル規制を突破するためのワザを思い出して感慨に耽ってしまった

    • パスワード変えろとか言う前にやって欲しいことがある。
      ネットバンキングを扱っている銀行によってこんなに違うわけです。
      ・英数字+記号(# $ + - . / : = ? @ [ ] ^ _ ` | )が使える
      ・英数字大文字小文字区別
      ・英数字区別なし
      ・数字のみ

      数字のみなんてホントいいのかって思いますよね。
      親コメント
      • ジャパンネットバンクは8文字しか使えません。
        なんとかしろと。

        親コメント
        • by Anonymous Coward

          取引に関してはワンタイムパスワードのハードウェアトークンの運用でガードしているという立場ではないでしょうか。
          確かに、ログインできてしまうと通帳の中とかはぞかれまくりのような気はしますが、そこから先には進めないはずです。

          # パスワード運用をするなら、もっと長いパスワードを使わせろ、という点については同意です。
          # あるいは、ログイン自体用にもう一本ワンタイムパスワードのトークン出してくれるとか(で、どっちがどっちかわからなくなったりして。笑)。

        • 俺、未だに数字4桁なんだが。

          利用文字の変更などの制限変更に対して、その新制約に合致させるという点では
          定期的に変更することを促してもいいかもしれない。

          ……いや。すまん。 やっぱ、定期的である理由ないな。

          # さすがにA.C.

      • by Anonymous Coward
        パスワードだけの分かりやすい国際標準なり、RFCなりないんですかね。
        ちょっと調べただけでは分かりませんでしたが、そういうのがあって、国とかが銀行に対して一斉に対応しろと指示すれば簡単なんですけどね・・・。
        • by Anonymous Coward

          『標準に準拠してないから総当り攻撃に強い』とか言い出すところが出てくる予感…

    • >どこかに紙に書いたり、エディタにメモったりする機会が増えると言うこと。
      >となれば、その紙だのデータだのそのものが漏洩しやすくなる。

      それは定期的変更とは関係無い。

      各サイト毎に全て異なるパスワードを使ってれば、
      (そしてそれは適切なパスワード運用に必要不可欠だが、)
      普通は既に紙のメモを金庫に入れるなり、暗号化した
      テキストファイルをUSBメモリに入れるなりして管理してるでしょ?

      >未だに銀行のネットバンキングにログインすると
      流石にネットバンキングは別格でいいと思うよ。
      財産がかかってるから。

      親コメント
    • >何かあったときの責任逃れのためかとすら思える。

      それは大いに感じるが、某ネットバンクではパスワード長が最大8桁なので、万に何十かの確率でやられるかも知れない。
      仕方ないので不本意ながら指示に従って変更しています。
      「指示通りに変更していたのだから利用者の過失はない」というためのアリバイ作りですな。
      なんだかなあ。。。

      親コメント
    • それでOTPなんてのもあるわけだけど、それを送る先のメールアドレスとして、PCはセキュリティが弱いからケータイにしろと言ってくる銀行がある。そういうものなのだろうか。
      OTPの送信先メールアドレスをケータイにしないと、振り込み上限金額なんかの制限が厳しくなるんだけど、謎なのはOTP使わないサービスまで制限が厳しくなること。

      ちなみにその銀行、もうメール使ったOTPは諦めたのかトークンに切り替えるそうだけど。

      • by Anonymous Coward

        PC向けにメールで通知するタイプのOTPに関しては、それを読み取るマルウェアによって実際に被害が出ている [naver.jp]ので…

      • by Anonymous Coward

        そこは、かつて口座番号を書き換えるだけで他人の口座情報にアクセスできるという、画期的なシステムを使ってたとこでしょ?

        恥ずかしながら私もユーザーなうのですが、OTPデバイスを受け取るために一度は店舗に出向かないといけないらしい・・・。投資信託の口座を持っていると住所変更の手続きをネットで行なえず、本人確認が必要なんだとか。
        堅いんだかザルなんだか、よく分からない銀行です。

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...