アカウント名:
パスワード:
自分のパスワードは、誰にも絶対に漏洩することはあり得ないと神に誓って言える人間だけが、パスワードの定期変更はクソ対応と言ってよろしいと思います。これは自分が管理しているシステム限らず、別の誰かが管理しているシステムを利用している場合も同様です。
その場合、定期的である必要はあるの?非定期でもいいんじゃないの。
私も流出が確認されてから流失したサイトのものだけ変えるのがベストだと思いますもちろん複数のサイトでIDとパスを同一のものにしないという大前提で
1. クラックされる。2. サービス提供者と利用者の対応。(a)そもそもサービス提供元がパスワード流出に気がつかない(b)気がついてもなかなか公表しない(c)公表されても自分がそれに気がつかない3. 不正利用される。4. サービス提供者と利用者の対応。(a)そもそもサービス提供元が不正利用に気がつかない(b)気がついてもなかなか公表しない(c)公表されても自分がそれに気がつかない5. 不正利用され続ける。
1. クラックされる。
2. サービス提供者と利用者の対応。(a)そもそもサービス提供元がパスワード流出に気がつかない(b)気がついてもなかなか公表しない(c)公表されても自分がそれに気がつかない
3. 不正利用される。
4. サービス提供者と利用者の対応。(a)そもそもサービス提供元が不正利用に気がつかない(b)気がついてもなかなか公表しない(c)公表されても自分がそれに気がつかない
5. 不正利用され続ける。
というパターンよりは、
6.利用者が定期的なパスワード
> クラックされた後の被害を小さくするためにパスワードを変更しましょう、っていうことで意味はあるというのが言いたかったんだけれど…
じゃあ、毎日変更してれば?
クラックされた後に被害を受ける期間を短縮するためには役立つので、
期間ってなんでしょう?パスワード盗まれてなりすましされたらその時点で攻撃が発覚しますよね。気付かないのはパスワード盗まれて情報抜き取られた場合だけど、この場合、情報抜き取られた後にパスワード変えても抜き取られた情報は消えないですよね。PCとかだとキーロガーとかあるけどパスワード変えても止まるわけじゃないですし。
意味あるとするとメールのパスワードでSPAMメール送信時に利用されるとか?ただ、そっちはボットネットが中心らしいですが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
自分のパスワードは絶対に漏れない! (スコア:0)
自分のパスワードは、誰にも絶対に漏洩することはあり得ないと神に誓って言える人間だけが、パスワードの定期変更はクソ対応と言ってよろしいと思います。
これは自分が管理しているシステム限らず、別の誰かが管理しているシステムを利用している場合も同様です。
Re: (スコア:0)
その場合、定期的である必要はあるの?非定期でもいいんじゃないの。
Re: (スコア:0)
私も流出が確認されてから流失したサイトのものだけ変えるのがベストだと思います
もちろん複数のサイトでIDとパスを同一のものにしないという大前提で
Re:自分のパスワードは絶対に漏れない! (スコア:1)
(a)そもそもサービス提供元がパスワード流出に気がつかない
(b)気がついてもなかなか公表しない
(c)公表されても自分がそれに気がつかない
いずれもありそうな話なのではないかと。
ということで、定期的にパスワードを変更することには意味はあると思う。
たくさんあるパスワードを変更して回るのに負荷があるのも事実なので、それを何とかして軽減する方策を考える必要があるんだろうねぇ。
自分はたくさんあるパスワードはパスワード管理ソフトで管理しています。が、変更して回るのはしんどいなぁ。
Re: (スコア:0)
というパターンよりは、
定期的なパスワード変更は、被害を小さく抑えるため (スコア:1)
確かにパスワード盗まれてしまえば被害を防げないので、定期的なパスワード変更はパスワードを盗まれるのを予防はできないよね。けどまー、クラックされた後に被害を受ける期間を短縮するためには役立つので、クラックされた後の被害を小さくするためにパスワードを変更しましょう、っていうことで意味はあるというのが言いたかったんだけれど…
パスワードを盗まれないようにするのが当然基本なわけなので、大前提として"クラックされないようなシステム"と、"クラックされないようなパスワード"の両方が必要ってのは間違いないよね。
その上で利用者として行える対策は、自分のパスワードを"クラックされないようなパスワード"にすることでパスワードを盗まれないようにして、定期的にパスワードを変更することで(システムがクラックされる事による)パスワード漏洩による被害を小さくする、という事なんじゃないかしら。
だけど、沢山あるパスワードを定期的に変更しようとすると面倒臭いので、なんとか楽にする方法が欲しいなぁ、と。
コンピュータに興味のない人達は慣れるまではなかなか理解しにくいだろうけど、例えばSSHみたいな公開鍵方式だったら、やればやれるだろうし、安全にもなるんじゃないだろうか。
Webサービスとかを利用するのに公開鍵ファイルを指定してパスフレーズを入力するのか…面倒だな。puttyのpagent(みたいなもの)を使えば楽になるけれど、利用者に環境を構築させて、ファイルを保持させる時点で駄目だな…利用者が理解できないでトラブルになりそうだ。
こういう方式のサービスを見かけないのはきっとトラブるからなんだろうね。
Re: (スコア:0)
> クラックされた後の被害を小さくするためにパスワードを変更しましょう、っていうことで意味はあるというのが言いたかったんだけれど…
じゃあ、毎日変更してれば?
Re: (スコア:0)
クラックされた後に被害を受ける期間を短縮するためには役立つので、
期間ってなんでしょう?
パスワード盗まれてなりすましされたらその時点で攻撃が発覚しますよね。
気付かないのはパスワード盗まれて情報抜き取られた場合だけど、この場合、情報抜き取られた後にパスワード変えても抜き取られた情報は消えないですよね。
PCとかだとキーロガーとかあるけどパスワード変えても止まるわけじゃないですし。
意味あるとするとメールのパスワードでSPAMメール送信時に利用されるとか?
ただ、そっちはボットネットが中心らしいですが。