パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

総務省が「パスワードを定期的に変更する」とのセキュリティ対策を推奨したことが議論に」記事へのコメント

  • 自分のパスワードは、誰にも絶対に漏洩することはあり得ないと神に誓って言える人間だけが、パスワードの定期変更はクソ対応と言ってよろしいと思います。
    これは自分が管理しているシステム限らず、別の誰かが管理しているシステムを利用している場合も同様です。

    • by Anonymous Coward

      その場合、定期的である必要はあるの?非定期でもいいんじゃないの。

      • by Anonymous Coward

        私も流出が確認されてから流失したサイトのものだけ変えるのがベストだと思います
        もちろん複数のサイトでIDとパスを同一のものにしないという大前提で

        • パスワード流出が確認されてから、というのはちょっと見落としがあるんじゃないかな。

          (a)そもそもサービス提供元がパスワード流出に気がつかない
          (b)気がついてもなかなか公表しない
          (c)公表されても自分がそれに気がつかない

          いずれもありそうな話なのではないかと。
          ということで、定期的にパスワードを変更することには意味はあると思う。
          たくさんあるパスワードを変更して回るのに負荷があるのも事実なので、それを何とかして軽減する方策を考える必要があるんだろうねぇ。
          自分はたくさんあるパスワードはパスワード管理ソフトで管理しています。が、変更して回るのはしんどいなぁ。
          • by Anonymous Coward on 2013年12月20日 21時18分 (#2515660)

            1. クラックされる。

            2. サービス提供者と利用者の対応。
            (a)そもそもサービス提供元がパスワード流出に気がつかない
            (b)気がついてもなかなか公表しない
            (c)公表されても自分がそれに気がつかない

            3. 不正利用される。

            4. サービス提供者と利用者の対応。
            (a)そもそもサービス提供元が不正利用に気がつかない
            (b)気がついてもなかなか公表しない
            (c)公表されても自分がそれに気がつかない

            5. 不正利用され続ける。

            というパターンよりは、

            6.利用者が定期的なパスワードの変更をする。

            の方がいいってことなんでしょうけど、クラックする側とすれば、気が付かれる前に利用しておきたいところだから、定期的なパスワードの変更では遅すぎるし、定期的なパスワードの変更をしても、抜本的な改善がないなら、

            7. 1.に戻る。

            ですね。

            親コメント
            • >の方がいいってことなんでしょうけど、クラックする側とすれば、気が付かれる前に利用しておきたいところだから、定期的なパスワードの変更では遅すぎるし、

              確かにパスワード盗まれてしまえば被害を防げないので、定期的なパスワード変更はパスワードを盗まれるのを予防はできないよね。けどまー、クラックされた後に被害を受ける期間を短縮するためには役立つので、クラックされた後の被害を小さくするためにパスワードを変更しましょう、っていうことで意味はあるというのが言いたかったんだけれど…

              パスワードを盗まれないようにするのが当然基本なわけなので、大前提として"クラックされないようなシステム"と、"クラックされないようなパスワード"の両方が必要ってのは間違いないよね。

              その上で利用者として行える対策は、自分のパスワードを"クラックされないようなパスワード"にすることでパスワードを盗まれないようにして、定期的にパスワードを変更することで(システムがクラックされる事による)パスワード漏洩による被害を小さくする、という事なんじゃないかしら。

              だけど、沢山あるパスワードを定期的に変更しようとすると面倒臭いので、なんとか楽にする方法が欲しいなぁ、と。

              コンピュータに興味のない人達は慣れるまではなかなか理解しにくいだろうけど、例えばSSHみたいな公開鍵方式だったら、やればやれるだろうし、安全にもなるんじゃないだろうか。
              Webサービスとかを利用するのに公開鍵ファイルを指定してパスフレーズを入力するのか…面倒だな。puttyのpagent(みたいなもの)を使えば楽になるけれど、利用者に環境を構築させて、ファイルを保持させる時点で駄目だな…利用者が理解できないでトラブルになりそうだ。
              こういう方式のサービスを見かけないのはきっとトラブるからなんだろうね。
              親コメント
              • by Anonymous Coward

                > クラックされた後の被害を小さくするためにパスワードを変更しましょう、っていうことで意味はあるというのが言いたかったんだけれど…

                じゃあ、毎日変更してれば?

              • by Anonymous Coward

                クラックされた後に被害を受ける期間を短縮するためには役立つので、

                期間ってなんでしょう?
                パスワード盗まれてなりすましされたらその時点で攻撃が発覚しますよね。
                気付かないのはパスワード盗まれて情報抜き取られた場合だけど、この場合、情報抜き取られた後にパスワード変えても抜き取られた情報は消えないですよね。
                PCとかだとキーロガーとかあるけどパスワード変えても止まるわけじゃないですし。

                意味あるとするとメールのパスワードでSPAMメール送信時に利用されるとか?
                ただ、そっちはボットネットが中心らしいですが。

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...