アカウント名:
パスワード:
自分のパスワードは、誰にも絶対に漏洩することはあり得ないと神に誓って言える人間だけが、パスワードの定期変更はクソ対応と言ってよろしいと思います。これは自分が管理しているシステム限らず、別の誰かが管理しているシステムを利用している場合も同様です。
自分は安易なパスワードを使いまわさない。自分のユーザーも安易なパスワードを使いまわさないと断言出来る者だけが石を投げていい。
……お役所の人にそんなこと出来るんですかね(震え声
#ドラクエ10でアカハック食らってからはパスワードの定期変更は糞だと理解した。
総務省のシステムは三ヶ月以内ごとにパスワードの変更を強要される。しかも過去3回と同じパスワードは不可となっている。それが当たり前と思っているんじゃないの?でも、IDは一人一個だろうし、複数のシステムで同じパスワードにしている人は多いかもね。
でも役人は責任をとりたくない(とれない)から、この手の指針であっても審議会ひらいて専門家のお墨付きつけてからじゃないと出さないと思うんだがなあ。つまりこういう考え方の人が有識者に多いってことになる。役人が独断で出したのなら、それはそれでビックリだわ。
内部で動かしているサービスなら ActiveDirectory で統合認証して、パスワードポリシーで複雑なパスワードでないと受け付けないようにすればいい。問題は外部のサービスなのだが、なかなか難しいねえ。
>自分のパスワードは、誰にも絶対に漏洩することはあり得ないと神に誓って言える人間だけが、パスワードの定期変更はクソ対応と言ってよろしいと思います。
その「誰にも」に「自分」が含まれてたらおもしろおかしい。#二度とlogin不可
トークンに暗号化されていて、本人もパスワードの「文字列」は知らないとかじゃだめ?
googleのアプリケーション用のパスワードがそんな感じよね。
なぜ?パスワードが漏れる可能性があるとしても、定期変更はメリットが薄いと徳丸氏は主張しています。例えば「パスワードを定期的に変更する理由は何ですか?」 [atmarkit.co.jp]など。
ちゃんと理解していない方ですね。
定期変更してればよいというわけではないけれど、かといって変えないので良いというわけでもないってこと。
徳丸氏の話は、定期変更しなきゃいけない原因を取り除くのが重要と言ってるだけ。このコメスレでは、あなたが使っているサービスが、この「原因が取り除かれている確証がありますか?」ってことを言ってる。
そして、徳丸氏の間違っているところは、定期変更は完ぺきではないけれど、問題が悪化するのを軽減するくらいの効果はあるということを見落とさせているところ。
徳丸氏がいう「定期変更を呼びかけるのは変だ」とい
というあなたの認識が間違いです。徳丸氏はそのメリットを認識しています。
パスワードを定期的に変更する理由は何ですか? [atmarkit.co.jp]
認識したうえで、メリットよりデメリットの方が大きいとお考えなわけです。もちろん「メリットとデメリットのどちらが大きいか」は議論の対象となってしかるべきですが、徳丸氏が利点を見落としているということではありません。
あなたが読めてないと思うけど。定期変更はあまり意味が無いといってるんだと考えるがね。
私としてはたいした意味が無いというのはまったく同意で、ただ管理者が何かやってますよ、と主張したい、しかもシステムに加工せずとも運用対処できるから、という理由だけで流行ってる悪しき風習だと思ってる。それより長さ(短さ?)制限のほうが100倍マシ
> 頼できる確証もないサービスで、ずっとパスワードを変えずに使い続けるというのはリスクが極めて高い
これがもう既に思い込みの勘違いなんだって。なんでそれがわからないかな。
その場合、定期的である必要はあるの?非定期でもいいんじゃないの。
私も流出が確認されてから流失したサイトのものだけ変えるのがベストだと思いますもちろん複数のサイトでIDとパスを同一のものにしないという大前提で
1. クラックされる。2. サービス提供者と利用者の対応。(a)そもそもサービス提供元がパスワード流出に気がつかない(b)気がついてもなかなか公表しない(c)公表されても自分がそれに気がつかない3. 不正利用される。4. サービス提供者と利用者の対応。(a)そもそもサービス提供元が不正利用に気がつかない(b)気がついてもなかなか公表しない(c)公表されても自分がそれに気がつかない5. 不正利用され続ける。
1. クラックされる。
2. サービス提供者と利用者の対応。(a)そもそもサービス提供元がパスワード流出に気がつかない(b)気がついてもなかなか公表しない(c)公表されても自分がそれに気がつかない
3. 不正利用される。
4. サービス提供者と利用者の対応。(a)そもそもサービス提供元が不正利用に気がつかない(b)気がついてもなかなか公表しない(c)公表されても自分がそれに気がつかない
5. 不正利用され続ける。
というパターンよりは、
6.利用者が定期的なパスワード
> クラックされた後の被害を小さくするためにパスワードを変更しましょう、っていうことで意味はあるというのが言いたかったんだけれど…
じゃあ、毎日変更してれば?
クラックされた後に被害を受ける期間を短縮するためには役立つので、
期間ってなんでしょう?パスワード盗まれてなりすましされたらその時点で攻撃が発覚しますよね。気付かないのはパスワード盗まれて情報抜き取られた場合だけど、この場合、情報抜き取られた後にパスワード変えても抜き取られた情報は消えないですよね。PCとかだとキーロガーとかあるけどパスワード変えても止まるわけじゃないですし。
意味あるとするとメールのパスワードでSPAMメール送信時に利用されるとか?ただ、そっちはボットネットが中心らしいですが。
非定期にすると、人間なんて長期間、ずっと変えなかったりする。
情報流出が合ったサービスやサイトだけ変えるというのは、情報漏えいや不正侵入があったサービスの全てがきちんとユーザに情報提供をしているのか疑問なので、それこそクソ対応といえる。
実際に、不正侵入されていることを連絡してあげたら、こっそり直してユーザにも何にもアナウンスしなかったサイト知ってるから。
定期的に変えれば安全かというとそうでもなく、ただリスクの程度が軽減されるだけなんだけどさ。
この総務省の資料はサービス提供者向けなんだよ?それをわかってて言ってる?
複雑なパスワードをサイトごとに別々に管理しながら、それらが定期的に変更することができて、尚且つ忘れずに覚えていられるものだけが、パスワード定期変更を推奨しても良いと思います。
それでもパスワード定期変更するぐらいなら、もう1文字でもパスワードを長くする事を推奨していただきたい。パスワード長に敷居はない。長い方がいい。あとはコスト(手間)の問題。
自分のパスワードは絶対に漏れない。なぜなら、俺には友人も嫁も子供も居ないからだ。
#そしてパスワードは今の虹嫁の名だ。順定期的(約3ヵ月)に変更する。・・・・ちくしょー。
現実に起きたことです。セキュリティの甘い公開端末にキーロガーが仕掛けられていたらしく、パスワードが盗まれました。その発覚はあるユーザがパスワードを変更したことで、ログインの失敗が連続して起きたことがきっかけでした。
キーロガーにかかったら、パスワードの複雑さは関係ありません。ログイン後に何をされたかわからないので、結局全ユーザーのパスワードをリセットし、OSごと再インストールするしかなくなりました。もしパスワード変更がなかったら、そこから誰かがログインした先に被害が広がり続けていたでしょう。
これでもパスワード変更の意味はないのでしょうか?
パスワードの定期的変更について徳丸さんに聞いてみた(2) [tokumaru.org]
徳丸: はい。箇条書きにしますね。以下の3条件を満たす場合、パスワードの定期的変更が意味がある可能性があります。
あと、他のリンクにも企業内システムとか「長期に情報が漏洩し続ける」パターンでの有効性とかに言及があります。ただ、そんなに気を使うなら認証システムを改善した方がよいでしょうから、それまでの緩和策としての位置付けだと思いますが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
自分のパスワードは絶対に漏れない! (スコア:0)
自分のパスワードは、誰にも絶対に漏洩することはあり得ないと神に誓って言える人間だけが、パスワードの定期変更はクソ対応と言ってよろしいと思います。
これは自分が管理しているシステム限らず、別の誰かが管理しているシステムを利用している場合も同様です。
Re:自分のパスワードは絶対に漏れない! (スコア:2)
自分は安易なパスワードを使いまわさない。自分のユーザーも安易なパスワードを使いまわさないと断言出来る者だけが石を投げていい。
……お役所の人にそんなこと出来るんですかね(震え声
#ドラクエ10でアカハック食らってからはパスワードの定期変更は糞だと理解した。
Re:自分のパスワードは絶対に漏れない! (スコア:3, 興味深い)
総務省のシステムは三ヶ月以内ごとにパスワードの変更を強要される。
しかも過去3回と同じパスワードは不可となっている。
それが当たり前と思っているんじゃないの?
でも、IDは一人一個だろうし、複数のシステムで同じパスワードにしている人は多いかもね。
でも役人は責任をとりたくない(とれない)から、この手の指針であっても審議会ひらいて専門家のお墨付きつけてからじゃないと出さないと思うんだがなあ。
つまりこういう考え方の人が有識者に多いってことになる。
役人が独断で出したのなら、それはそれでビックリだわ。
Re: (スコア:0)
内部で動かしているサービスなら ActiveDirectory で統合認証して、パスワードポリシーで複雑なパスワードでないと受け付けないようにすればいい。
問題は外部のサービスなのだが、なかなか難しいねえ。
Re:自分のパスワードは絶対に漏れない! (スコア:1)
>自分のパスワードは、誰にも絶対に漏洩することはあり得ないと神に誓って言える人間だけが、パスワードの定期変更はクソ対応と言ってよろしいと思います。
その「誰にも」に「自分」が含まれてたらおもしろおかしい。
#二度とlogin不可
Re: (スコア:0)
トークンに暗号化されていて、本人もパスワードの「文字列」は知らないとか
じゃだめ?
Re: (スコア:0)
googleのアプリケーション用のパスワードがそんな感じよね。
Re:自分のパスワードは絶対に漏れない! (スコア:1)
なぜ?
パスワードが漏れる可能性があるとしても、定期変更はメリットが薄いと徳丸氏は主張しています。例えば「パスワードを定期的に変更する理由は何ですか?」 [atmarkit.co.jp]など。
Re: (スコア:0)
ちゃんと理解していない方ですね。
定期変更してればよいというわけではないけれど、かといって変えないので良いというわけでもないってこと。
徳丸氏の話は、定期変更しなきゃいけない原因を取り除くのが重要と言ってるだけ。
このコメスレでは、あなたが使っているサービスが、この「原因が取り除かれている確証がありますか?」ってことを言ってる。
そして、徳丸氏の間違っているところは、定期変更は完ぺきではないけれど、問題が悪化するのを軽減するくらいの効果はあるということを見落とさせているところ。
徳丸氏がいう「定期変更を呼びかけるのは変だ」とい
Re:自分のパスワードは絶対に漏れない! (スコア:1)
というあなたの認識が間違いです。
徳丸氏はそのメリットを認識しています。
パスワードを定期的に変更する理由は何ですか? [atmarkit.co.jp]
認識したうえで、メリットよりデメリットの方が大きいとお考えなわけです。
もちろん「メリットとデメリットのどちらが大きいか」は議論の対象となってしかるべきですが、徳丸氏が利点を見落としているということではありません。
Re: (スコア:0)
あなたが読めてないと思うけど。
定期変更はあまり意味が無いといってるんだと考えるがね。
私としてはたいした意味が無いというのはまったく同意で、
ただ管理者が何かやってますよ、と主張したい、しかもシステムに加工せずとも運用対処できるから、
という理由だけで流行ってる悪しき風習だと思ってる。
それより長さ(短さ?)制限のほうが100倍マシ
Re: (スコア:0)
> 頼できる確証もないサービスで、ずっとパスワードを変えずに使い続けるというのはリスクが極めて高い
これがもう既に思い込みの勘違いなんだって。なんでそれがわからないかな。
Re: (スコア:0)
その場合、定期的である必要はあるの?非定期でもいいんじゃないの。
Re: (スコア:0)
私も流出が確認されてから流失したサイトのものだけ変えるのがベストだと思います
もちろん複数のサイトでIDとパスを同一のものにしないという大前提で
Re:自分のパスワードは絶対に漏れない! (スコア:1)
(a)そもそもサービス提供元がパスワード流出に気がつかない
(b)気がついてもなかなか公表しない
(c)公表されても自分がそれに気がつかない
いずれもありそうな話なのではないかと。
ということで、定期的にパスワードを変更することには意味はあると思う。
たくさんあるパスワードを変更して回るのに負荷があるのも事実なので、それを何とかして軽減する方策を考える必要があるんだろうねぇ。
自分はたくさんあるパスワードはパスワード管理ソフトで管理しています。が、変更して回るのはしんどいなぁ。
Re: (スコア:0)
というパターンよりは、
定期的なパスワード変更は、被害を小さく抑えるため (スコア:1)
確かにパスワード盗まれてしまえば被害を防げないので、定期的なパスワード変更はパスワードを盗まれるのを予防はできないよね。けどまー、クラックされた後に被害を受ける期間を短縮するためには役立つので、クラックされた後の被害を小さくするためにパスワードを変更しましょう、っていうことで意味はあるというのが言いたかったんだけれど…
パスワードを盗まれないようにするのが当然基本なわけなので、大前提として"クラックされないようなシステム"と、"クラックされないようなパスワード"の両方が必要ってのは間違いないよね。
その上で利用者として行える対策は、自分のパスワードを"クラックされないようなパスワード"にすることでパスワードを盗まれないようにして、定期的にパスワードを変更することで(システムがクラックされる事による)パスワード漏洩による被害を小さくする、という事なんじゃないかしら。
だけど、沢山あるパスワードを定期的に変更しようとすると面倒臭いので、なんとか楽にする方法が欲しいなぁ、と。
コンピュータに興味のない人達は慣れるまではなかなか理解しにくいだろうけど、例えばSSHみたいな公開鍵方式だったら、やればやれるだろうし、安全にもなるんじゃないだろうか。
Webサービスとかを利用するのに公開鍵ファイルを指定してパスフレーズを入力するのか…面倒だな。puttyのpagent(みたいなもの)を使えば楽になるけれど、利用者に環境を構築させて、ファイルを保持させる時点で駄目だな…利用者が理解できないでトラブルになりそうだ。
こういう方式のサービスを見かけないのはきっとトラブるからなんだろうね。
Re: (スコア:0)
> クラックされた後の被害を小さくするためにパスワードを変更しましょう、っていうことで意味はあるというのが言いたかったんだけれど…
じゃあ、毎日変更してれば?
Re: (スコア:0)
クラックされた後に被害を受ける期間を短縮するためには役立つので、
期間ってなんでしょう?
パスワード盗まれてなりすましされたらその時点で攻撃が発覚しますよね。
気付かないのはパスワード盗まれて情報抜き取られた場合だけど、この場合、情報抜き取られた後にパスワード変えても抜き取られた情報は消えないですよね。
PCとかだとキーロガーとかあるけどパスワード変えても止まるわけじゃないですし。
意味あるとするとメールのパスワードでSPAMメール送信時に利用されるとか?
ただ、そっちはボットネットが中心らしいですが。
Re: (スコア:0)
非定期にすると、人間なんて長期間、ずっと変えなかったりする。
情報流出が合ったサービスやサイトだけ変えるというのは、情報漏えいや不正侵入があったサービスの全てがきちんとユーザに情報提供をしているのか疑問なので、それこそクソ対応といえる。
実際に、不正侵入されていることを連絡してあげたら、こっそり直してユーザにも何にもアナウンスしなかったサイト知ってるから。
定期的に変えれば安全かというとそうでもなく、ただリスクの程度が軽減されるだけなんだけどさ。
Re:自分のパスワードは絶対に漏れない! (スコア:1)
この総務省の資料はサービス提供者向けなんだよ?
それをわかってて言ってる?
自分は大量になっても複雑なパスワードを絶対に忘れない! (スコア:0)
複雑なパスワードをサイトごとに別々に管理しながら、それらが定期的に変更することができて、尚且つ忘れずに覚えていられるものだけが、パスワード定期変更を推奨しても良いと思います。
Re: (スコア:0)
それでも
パスワード定期変更するぐらいなら、もう1文字でもパスワードを長くする事を推奨していただきたい。
パスワード長に敷居はない。長い方がいい。あとはコスト(手間)の問題。
Re: (スコア:0)
自分のパスワードは絶対に漏れない。
なぜなら、俺には友人も嫁も子供も居ないからだ。
#そしてパスワードは今の虹嫁の名だ。順定期的(約3ヵ月)に変更する。・・・・ちくしょー。
Re: (スコア:0)
現実に起きたことです。セキュリティの甘い公開端末にキーロガーが仕掛けられていたらしく、パスワードが盗まれました。その発覚はあるユーザがパスワードを変更したことで、ログインの失敗が連続して起きたことがきっかけでした。
キーロガーにかかったら、パスワードの複雑さは関係ありません。ログイン後に何をされたかわからないので、結局全ユーザーのパスワードをリセットし、OSごと再インストールするしかなくなりました。もしパスワード変更がなかったら、そこから誰かがログインした先に被害が広がり続けていたでしょう。
これでもパスワード変更の意味はないのでしょうか?
Re: (スコア:0)
パスワードの定期的変更について徳丸さんに聞いてみた(2) [tokumaru.org]
徳丸: はい。箇条書きにしますね。以下の3条件を満たす場合、パスワードの定期的変更が意味がある可能性があります。
あと、他のリンクにも企業内システムとか「長期に情報が漏洩し続ける」パターンでの有効性とかに言及があります。
ただ、そんなに気を使うなら認証システムを改善した方がよいでしょうから、それまでの緩和策としての位置付けだと思いますが。
Re: (スコア:0)
長期に情報が漏えいし続けても被害が拡大しないサービスってなんだ?捨てアカとか?一回の侵入で全部の情報もってかれるようなところだとどうせ全部もってかれてるんだからいまさらおせーよということ?
前後がないからあれだが、3番目はどうなんだろう。個別に漏れる可能性はみてないってことか。最近は他サイトで漏えいしたものが使われたりしているのだからそのサイトだけの話じゃない。記事としてもう古いのかもしれないけど。