パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IPAのセキュリティ対策キャンペーンテーマから「ID・パスワードは定期的に変更する」が消える」記事へのコメント

  • by Anonymous Coward

    パスワード変更の是非に関しては ライフハックのこの記事 [lifehacker.jp]がきれいにまとまってるんだが、要約すると
    1.パスワードの定期的な変更はユーザーのストレスになる。
    2.強制的なパスワード変更にストレスを感じたユーザーは強度の低い簡単なパスワードをいくつか使いまわしたがるようになる。
    3.挙句にモニタに付箋紙でパスワードを貼り付ける勇者登場。
    のほか、
    ●侵入から直ちに実害を及ぼす行為に移れるアカウント(オンラインバンキングなど)では定期的に変えて

    • Re: (スコア:3, 興味深い)

      by Anonymous Coward

      とはいえ、情報の漏洩などが目的で侵入後様子を見て有効な情報が流れてくるまでまってる潜伏型の場合は必ずしもムダじゃない。

      これについてはパスワードの定期的変更が特定の観点で有効だとは言えるけれど、このケースを懸念する場合にはより適切な対策はあるわけで、結局「パスワードは定期的に変更しましょう」が推進できるような状況ではないと思うんだよね。

      何らかのタイミングで利用者のパスワードを攻撃者が手に入れて長期的(潜伏的)に不正ログインされているようなケースであれば、そのサービス(システム)がリスクベース認証のような形でも常時でもよいが、ログイン履歴を正規のアカウント所有者に通知できる仕組みがあれ

      • それってすでに侵入された後の気がしますが。
        定期的な変更なら侵入前のパスワード変更が可能な確率が高い。
        all or nothing じゃなくて、確率の問題ならやらなくても良い?

        --
        [Q][W][E][R][T][Y]
        • by Anonymous Coward on 2014年09月11日 1時36分 (#2674542)

          何をおっしゃっているのですか?
          元のコメントで潜伏型と書かれているのはすでに侵入されているケースですよね。

          それと、どうしても可能な限り安全策を講じたいという考えにおいて、パスワードの定期的変更が多少なりとも意味を持つという主張をすることは可能ですが、「パスワードが漏洩している状況」で「パスワードを定期的に変更しましょう」などと悠長なことを言っているようでは安全もくそもないというのが定期的変更懐疑派のひとつの主張ではないのでしょうか。

          パスワードが漏洩(他人にばれている)状況を想定するのであれば、パスワードを付け直すよりも優先して講じるべき対策が山ほどあるでしょうに。

          親コメント
          • パスワードを攻撃者が手に入れた時点と、
            実際にログイン試行がある時点は別です。
            漏洩リストを元にした潜伏型が、実際にログインの成功を事前に確認する必要は無いと思いますが。

            --
            [Q][W][E][R][T][Y]
            親コメント
            • by Anonymous Coward

              それにしても、パスワード変更は、攻撃者がパスワードを手に入れてからログインするまでに
              ユーザーがパスワードを変更した場合のみ、意味がある防御策ということになります。

              防御力をあげるためには頻繁にパスワードを変更する必要がありますが、
              それでは、ユーザーの利便性や簡単なパスワードを設定されてしまう危険を考えた場合に、
              割に合わないという主張なのだと思います。

              • 条件を限定してよいなら、潜伏してる奴が「パスワードの変更」を横取りして新パスワードもゲットしてしまったり、
                それによりその人のパスワードの法則(例えば「イニシャル+変更日」みたいな)を捕まれて
                他のサービスも突破されちゃったりするリスクも!
                標的型ならあり得ない話ではないし…

                …若干考えすぎだな。
                (上のだけを考えたら「長い文なら短いランダムパスワードより強い」が必ずしも正しくないように見えちゃうし、ちゃんと確率や定量的なこと言わないといけない)

                親コメント

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...