パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IPAのセキュリティ対策キャンペーンテーマから「ID・パスワードは定期的に変更する」が消える」記事へのコメント

  • by Anonymous Coward on 2014年09月10日 18時38分 (#2674348)

    パスワード変更の是非に関してはライフハックのこの記事 [lifehacker.jp]がきれいにまとまってるんだが、要約すると
    1.パスワードの定期的な変更はユーザーのストレスになる。
    2.強制的なパスワード変更にストレスを感じたユーザーは強度の低い簡単なパスワードをいくつか使いまわしたがるようになる。
    3.挙句にモニタに付箋紙でパスワードを貼り付ける勇者登場。
    のほか、
    ●侵入から直ちに実害を及ぼす行為に移れるアカウント(オンラインバンキングなど)では定期的に変えても被害は出た後なのでムダ。
    ●コンピュータシステムのパスワードでは侵入後にバックドアを仕掛けられたらパスワード変えても裏口から入り放題。

    とはいえ、情報の漏洩などが目的で侵入後様子を見て有効な情報が流れてくるまでまってる潜伏型の場合は必ずしもムダじゃない。
    なので、脊髄反射的に「パスワード変更なんて意味無い」と騒ぐだけなのはただのバカ。

    と、いうことでよろしいでしょうか。

    • by Anonymous Coward on 2014年09月10日 19時07分 (#2674363)

      1.パスワードの定期的な変更はユーザーのストレスになる。
      2.強制的なパスワード変更にストレスを感じたユーザーは強度の低い簡単なパスワードをいくつか使いまわしたがるようになる。
      3.挙句にモニタに付箋紙でパスワードを貼り付ける勇者登場。

      前職の職場がまさにこの状況だった
      勇者が大勢居たわ

      親コメント
      • by Anonymous Coward on 2014年09月10日 20時31分 (#2674432)
        木を隠すなら森の中というか、定期的な変更してるんなら、その候補のパスワードが全部モニタに付箋紙で貼ってあっても問題ないんじゃないの?イマココって書いてさえいなければ。
        親コメント
        • by Anonymous Coward on 2014年09月11日 6時30分 (#2674581)

          おいおい、これは「おもしろかしい」だろう。すば洞付けてどーすんだw

          親コメント
        • by Anonymous Coward

          モニタにパスワードを書いた付箋が1兆枚くらい貼ってあれば問題ないね

          • by Anonymous Coward

            そんなことしなくても、10枚のうち1枚が正解、ほかの9枚は大音量が鳴り響く仕様にしておけば

            • by Anonymous Coward

              銀行のATMでよく思うんですけど、ユーザーが自分が使っているのとは違う「ありがちな暗証番号」をNG番号として登録しておいて、それを打ち込んだら即警察に通報、みたいなことはできないもんでしょうかね。

              • by Anonymous Coward

                キャッシュカードにそれっぽい数字をいくつか書いておく、ていうのはどっかで読んだな。

      • by Anonymous Coward on 2014年09月10日 21時00分 (#2674448)

        モニターに貼り付けられたID・パスワードを確認しなければいけないってのがあるし、共用などではアリなんじゃないかと思えてしまう
        テキストファイルを平文でどこかに保存するものよりはマシなんじゃないかなぁと

        親コメント
        • by Anonymous Coward

          > 共用などではアリ
          さすがに、役割ごとの共用ユーザって今時、作らないのでは?
          共用ユーザ使われたら、誰が操作したのか追跡できないじゃない。

          • by Anonymous Coward

            今時少ないんじゃないか、とは思いますが、絶滅はしていないですね…。(善し悪しではなく現実として)
            社外サービスで、会社ごとにIDが振られて、複数人の社員が1つのIDを共用するとか。
            社内サービスで、共用ファイルサーバーで、部署単位のIDを共用するとか。

          • by Anonymous Coward

            ホスト汎用機系文化のとこはデフォがこれ。
            入退室カードと連動させる発想すらないよ。

            ああ、カードも(略

      • by Anonymous Coward

        ユーザーにパスワードを自由に決めさせるからそういう問題が起きる。
        機械的に決めてしまえばいい。
        そして、付箋に書かれる前にカードサイズの紙に印刷して配って財布に入れさせる。

    • by Anonymous Coward on 2014年09月10日 21時12分 (#2674456)

      とはいえ、情報の漏洩などが目的で侵入後様子を見て有効な情報が流れてくるまでまってる潜伏型の場合は必ずしもムダじゃない。

      これについてはパスワードの定期的変更が特定の観点で有効だとは言えるけれど、このケースを懸念する場合にはより適切な対策はあるわけで、結局「パスワードは定期的に変更しましょう」が推進できるような状況ではないと思うんだよね。

      何らかのタイミングで利用者のパスワードを攻撃者が手に入れて長期的(潜伏的)に不正ログインされているようなケースであれば、そのサービス(システム)がリスクベース認証のような形でも常時でもよいが、ログイン履歴を正規のアカウント所有者に通知できる仕組みがあればよく、それを確認して不正ログインの可能性があるとわかった時点でパスワード変更なりの対策をすればよいわけで、これであれば「定期的に」変更する必要はない。

      徳丸さんの記事などでも言われていると思うけど仮に定期的変更に何かしらの意味があったとするのであれば、本来はそれよりも適切な対策(前述の不正ログインを感知する仕組みなど)が用意されているべきで、「パスワードの定期的変更」をあたかも有効な施策のように公言するのはどうかというのが個人的な見解。

      きちんと検証もせず「パスワードは定期的に変更しましょう」なんて掲載しているウェブサイトは個人的には信用できない。
      そういうこと書くなら根拠なりどういう認識があるのかを書いて欲しいと思って今回のIPAに対しても9月3日の午後にメールで追及したんだが、俺の問い合わせがきっかけで内容を変更したのかは不明。

      親コメント
      • それってすでに侵入された後の気がしますが。
        定期的な変更なら侵入前のパスワード変更が可能な確率が高い。
        all or nothing じゃなくて、確率の問題ならやらなくても良い?

        --
        [Q][W][E][R][T][Y]
        親コメント
        • by Anonymous Coward

          何をおっしゃっているのですか?
          元のコメントで潜伏型と書かれているのはすでに侵入されているケースですよね。

          それと、どうしても可能な限り安全策を講じたいという考えにおいて、パスワードの定期的変更が多少なりとも意味を持つという主張をすることは可能ですが、「パスワードが漏洩している状況」で「パスワードを定期的に変更しましょう」などと悠長なことを言っているようでは安全もくそもないというのが定期的変更懐疑派のひとつの主張ではないのでしょうか。

          パスワードが漏洩(他人にばれている)状況を想定するのであれば、パスワードを付け直すよりも優先して講じるべき対策が山ほどあるでしょうに。

          • パスワードを攻撃者が手に入れた時点と、
            実際にログイン試行がある時点は別です。
            漏洩リストを元にした潜伏型が、実際にログインの成功を事前に確認する必要は無いと思いますが。

            --
            [Q][W][E][R][T][Y]
            親コメント
            • by Anonymous Coward

              それにしても、パスワード変更は、攻撃者がパスワードを手に入れてからログインするまでに
              ユーザーがパスワードを変更した場合のみ、意味がある防御策ということになります。

              防御力をあげるためには頻繁にパスワードを変更する必要がありますが、
              それでは、ユーザーの利便性や簡単なパスワードを設定されてしまう危険を考えた場合に、
              割に合わないという主張なのだと思います。

              • 条件を限定してよいなら、潜伏してる奴が「パスワードの変更」を横取りして新パスワードもゲットしてしまったり、
                それによりその人のパスワードの法則(例えば「イニシャル+変更日」みたいな)を捕まれて
                他のサービスも突破されちゃったりするリスクも!
                標的型ならあり得ない話ではないし…

                …若干考えすぎだな。
                (上のだけを考えたら「長い文なら短いランダムパスワードより強い」が必ずしも正しくないように見えちゃうし、ちゃんと確率や定量的なこと言わないといけない)

                親コメント
      • by Anonymous Coward

        システム側の視点に立てば,いくらでも対策する手段があるだろうけど,
        ユーザー視点で見れば,使いたいサービスがそのような対策がなされていない場合はどうすればよいの?

        異なるシステムでのID/PASSの使い回しは論外として,内部犯でID/PASSが漏れた場合など,
        定期的な変更を行っておけば変更した人の情報漏洩は防げる。
        いくら内部犯だって,そう度々データ抜き出しもしないでしょうし。

        • by Anonymous Coward

          パスワードが他人にバレてから変更するまでを除いてはパスワードの定期変更によって対策になるという主張なのかもしれませんが、それって一般的にパスワードの定期的変更を推奨する理由にはならないですよね。

          そんな限定的なパスワードが他人にバレているという前提における保険的対策を、一般的なセキュリティ対策の項目の一つとして堂々と掲げるのってどうなのというのが定期的変更反対派の主張ですよ。

          社内システムなり不正ログインを検知できないサービスなりで個人的にパスワードを保護したいなら、定期的変更を行って勝手に保護していればいい。

          でもそれをサービス提供者なりセキュリティを語る組織が、その効果も明示せずに「パスワードの定期的な変更を推奨します」などというのは滑稽かと。

      • by Anonymous Coward

        元の勤務先はパスワードの定期的な変更をしていませんでした。
        だから今でも僕がアクセスできる可能性が大きいです。
        そういうのってヤバいんじゃないですかね。

    • パスワードの定期変更の話を聞くたびに,
      『ハリー・ポッターとアズカバンの囚人』
      のネビルの話を思い出します

      寮に入るためのパスワードを定期変更してたら,ネビルという学生がパスワードのメモを落としてしまった,と言う話
      魔法界にはセキュリティスペシャリストが居ないんだなぁ,と感じた

      親コメント
    • by Anonymous Coward

      元々、UNIX系OSで、/etc/passwdは誰でも見放題、総当たり攻撃できるもんならやってみやがれ、だったのが、
      処理能力が向上してきて解析は捗るわ、でも最大の8文字より長いパスワードにはできないわで。

      「誰かがミスをしたらヤバい」ではなく、「何が何でも普通にヤバい」という状態にまで陥りつつあって
      出てきた苦肉の策が、「定期的に変更しよう」なんじゃないのかな。
      当時は、やらないと具体的に危なかったし、各自が管理するアカウント/パスワード数も1個か2個だったからできてたけど。

      「安全策」って、一度できてしまうと、もう良いよ、と言う話にはなかなかなりづらいので、
      そこまで差し迫って必要でも無くなった上に、実質的に不可能なぐらいに管理すべきパスワード数が増えてるのにそのままの文言で維持されてしまってる。

    • by Anonymous Coward
      > コンピュータシステムのパスワードでは・・・。
      ICカードは大丈夫なのでしょうか?
    • by Anonymous Coward

      >脊髄反射的に「パスワード変更なんて意味無い」と騒ぐだけなのはただのバカ。
      >と、いうことでよろしいでしょうか。

      つまり
      情報の漏洩などが目的で侵入後様子を見て有効な情報が流れてくるまでまってる潜伏型
      に該当しないようなシステムでも「パスワードの定期的変更をしろ」と言ってるようなところに対しては
      「パスワードの変更なんて意味無い」とバカにするのはアリ?

      • by Anonymous Coward

        そう言う前提を確認してからならありかもねー。でも脊髄反射という前提ワードがいつの間にか消えてますな。
        意表を突いてくる奴らの攻撃パターンを予言するのも大変そうだけどね。

        しかし定期的にかえさすと弱いパスワードを使うとかいうならパスワードの使い回しも同じ事がいえると思えるんだが。
        個人的にはグーグルのアプローチが一番良いかなぁ。今のところ。

        • by Anonymous Coward

          プライベートの場合だと使うようなアカウントって
          「情報の漏洩などが目的で侵入後様子を見て有効な情報が流れてくるまでまってる潜伏型」
          が意味あるようなのってほとんどなくね? メールアカウントぐらい?

身近な人の偉大さは半減する -- あるアレゲ人

処理中...