アカウント名:
パスワード:
現実の鍵・・・鍵穴をスキャンされ合鍵を作られて侵入された、という話は中々聞かないので、誰も鍵を定期交換しない
サーバのパスワード・・・パスワードをクラックされ不正に知られて侵入された、という話がよく出るので、みんな定期的にパスワードを変える
こうして対比してみて気づいたのは、サーバのパスワードは破られるまでに時間がかかるから定期交換が効きますけど、現実の錠前って現場でサクッと破られるから定期交換しても意味ないですね。もし、現実の鍵が、破るには毎日ドアの前に通い詰めて少しずつ錠前を解析しないといけない代物だったら、サーバのパスワードで比喩しても通じそうです。
パスワードを破られる前の話なら、定期的に変えたところで破られる可能性は変わらないよ?パスワードが100として攻撃者が1から上がってくるとして、50まで来た時に、49に変更できたらセーフ。でも51に変更したらホームラン。まぁ結局変えたところで100分の1です。
変更が意味を成すのは破られた後にアクセスをブロックするためにやることです。その時はすでにアウトな状態です。破られる前の定期的な変更はセキュリティ上の効果はない。サーバーのパスワードを共有してて、メンバーが変わった時にそのメンバーのアクセス権を排除するために変更する、というのは当然の処置だが、これは定期的な変更とは言わない。もし、メンバー変わっても変更せず、アクセスしてはいけない旧メンバーがその後もアクセスできる状態にしておく状態こそが問題。だから、定期的に変更するのではなく、アクセス権者が変わったら変更する、が正しいと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
鍵の質の違い (スコア:0)
現実の鍵・・・鍵穴をスキャンされ合鍵を作られて侵入された、という話は中々聞かないので、誰も鍵を定期交換しない
サーバのパスワード・・・パスワードをクラックされ不正に知られて侵入された、という話がよく出るので、みんな定期的にパスワードを変える
こうして対比してみて気づいたのは、
サーバのパスワードは破られるまでに時間がかかるから定期交換が効きますけど、
現実の錠前って現場でサクッと破られるから定期交換しても意味ないですね。
もし、現実の鍵が、破るには毎日ドアの前に通い詰めて少しずつ錠前を解析しないといけない代物だったら、
サーバのパスワードで比喩しても通じそうです。
Re:鍵の質の違い (スコア:0)
パスワードを破られる前の話なら、定期的に変えたところで破られる可能性は変わらないよ?
パスワードが100として攻撃者が1から上がってくるとして、
50まで来た時に、49に変更できたらセーフ。でも51に変更したらホームラン。
まぁ結局変えたところで100分の1です。
変更が意味を成すのは破られた後にアクセスをブロックするためにやることです。その時はすでにアウトな状態です。
破られる前の定期的な変更はセキュリティ上の効果はない。
サーバーのパスワードを共有してて、メンバーが変わった時にそのメンバーのアクセス権を排除するために変更する、というのは当然の処置だが、これは定期的な変更とは言わない。
もし、メンバー変わっても変更せず、アクセスしてはいけない旧メンバーがその後もアクセスできる状態にしておく状態こそが問題。
だから、定期的に変更するのではなく、アクセス権者が変わったら変更する、が正しいと思う。