アカウント名:
パスワード:
パスワード変更の是非に関しては ライフハックのこの記事 [lifehacker.jp]がきれいにまとまってるんだが、要約すると1.パスワードの定期的な変更はユーザーのストレスになる。2.強制的なパスワード変更にストレスを感じたユーザーは強度の低い簡単なパスワードをいくつか使いまわしたがるようになる。3.挙句にモニタに付箋紙でパスワードを貼り付ける勇者登場。のほか、●侵入から直ちに実害を及ぼす行為に移れるアカウント(オンラインバンキングなど)では定期的に変えて
とはいえ、情報の漏洩などが目的で侵入後様子を見て有効な情報が流れてくるまでまってる潜伏型の場合は必ずしもムダじゃない。
これについてはパスワードの定期的変更が特定の観点で有効だとは言えるけれど、このケースを懸念する場合にはより適切な対策はあるわけで、結局「パスワードは定期的に変更しましょう」が推進できるような状況ではないと思うんだよね。
何らかのタイミングで利用者のパスワードを攻撃者が手に入れて長期的(潜伏的)に不正ログインされているようなケースであれば、そのサービス(システム)がリスクベース認証のような形でも常時でもよいが、ログイン履歴を正規のアカウント所有者に通知できる仕組みがあれ
システム側の視点に立てば,いくらでも対策する手段があるだろうけど,ユーザー視点で見れば,使いたいサービスがそのような対策がなされていない場合はどうすればよいの?
異なるシステムでのID/PASSの使い回しは論外として,内部犯でID/PASSが漏れた場合など,定期的な変更を行っておけば変更した人の情報漏洩は防げる。いくら内部犯だって,そう度々データ抜き出しもしないでしょうし。
パスワードが他人にバレてから変更するまでを除いてはパスワードの定期変更によって対策になるという主張なのかもしれませんが、それって一般的にパスワードの定期的変更を推奨する理由にはならないですよね。
そんな限定的なパスワードが他人にバレているという前提における保険的対策を、一般的なセキュリティ対策の項目の一つとして堂々と掲げるのってどうなのというのが定期的変更反対派の主張ですよ。
社内システムなり不正ログインを検知できないサービスなりで個人的にパスワードを保護したいなら、定期的変更を行って勝手に保護していればいい。
でもそれをサービス提供者なりセキュリティを語る組織が、その効果も明示せずに「パスワードの定期的な変更を推奨します」などというのは滑稽かと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
ちょっとメモ的なこととして (スコア:4, 興味深い)
パスワード変更の是非に関しては ライフハックのこの記事 [lifehacker.jp]がきれいにまとまってるんだが、要約すると
1.パスワードの定期的な変更はユーザーのストレスになる。
2.強制的なパスワード変更にストレスを感じたユーザーは強度の低い簡単なパスワードをいくつか使いまわしたがるようになる。
3.挙句にモニタに付箋紙でパスワードを貼り付ける勇者登場。
のほか、
●侵入から直ちに実害を及ぼす行為に移れるアカウント(オンラインバンキングなど)では定期的に変えて
Re: (スコア:3, 興味深い)
とはいえ、情報の漏洩などが目的で侵入後様子を見て有効な情報が流れてくるまでまってる潜伏型の場合は必ずしもムダじゃない。
これについてはパスワードの定期的変更が特定の観点で有効だとは言えるけれど、このケースを懸念する場合にはより適切な対策はあるわけで、結局「パスワードは定期的に変更しましょう」が推進できるような状況ではないと思うんだよね。
何らかのタイミングで利用者のパスワードを攻撃者が手に入れて長期的(潜伏的)に不正ログインされているようなケースであれば、そのサービス(システム)がリスクベース認証のような形でも常時でもよいが、ログイン履歴を正規のアカウント所有者に通知できる仕組みがあれ
Re:ちょっとメモ的なこととして (スコア:0)
システム側の視点に立てば,いくらでも対策する手段があるだろうけど,
ユーザー視点で見れば,使いたいサービスがそのような対策がなされていない場合はどうすればよいの?
異なるシステムでのID/PASSの使い回しは論外として,内部犯でID/PASSが漏れた場合など,
定期的な変更を行っておけば変更した人の情報漏洩は防げる。
いくら内部犯だって,そう度々データ抜き出しもしないでしょうし。
Re: (スコア:0)
パスワードが他人にバレてから変更するまでを除いてはパスワードの定期変更によって対策になるという主張なのかもしれませんが、それって一般的にパスワードの定期的変更を推奨する理由にはならないですよね。
そんな限定的なパスワードが他人にバレているという前提における保険的対策を、一般的なセキュリティ対策の項目の一つとして堂々と掲げるのってどうなのというのが定期的変更反対派の主張ですよ。
社内システムなり不正ログインを検知できないサービスなりで個人的にパスワードを保護したいなら、定期的変更を行って勝手に保護していればいい。
でもそれをサービス提供者なりセキュリティを語る組織が、その効果も明示せずに「パスワードの定期的な変更を推奨します」などというのは滑稽かと。