アカウント名:
パスワード:
無意味(というか有害)なのは、「定期的なパスワード変更を(システム側で)強制すること」です。
うちのシステムがそれだ。三ヶ月に一回変更しないとログインできなくなる。パスワードに単語らしきものが入っていると弾かれる。変更履歴を持っていて一度使ったパスワードは二度と使えない。パスワードを忘れた場合の再設定は書類を書いて対面認証。
そりゃ、ポストイットに書いてディスプレイに貼り付けが横行するわ。
>マイクロソフト のコーマック・ハーリー主任研究員は、人類が1日にパスワード入力に費やす時間が計1300年相当を超えていると話す。
日本の貢献度は高いと思う
確かに高そうだ。毎日数十回もパスワードを入力させられてる弊社だけでも、会社全体では一日あたりで延べ40日分パスワード入力に時間を費やしてるって試算があった。ちなみにこれはセキュリティ委員会で「いくらなんでも無駄すぎないか」という主張の補強に使われたのだが、「セキュリティは全てに優先する」ということで流されてた。・・・ところで、同じパスワードを毎日数十回も打ち込むのって、それはそれでセキュリティリスクないのかなあ?
全てに優先するわりに効果の定量的な測定とかする気もなさそうなあたりがいかにもジャパニーズ
> ・・・ところで、同じパスワードを毎日数十回も打ち込むのって、それはそれでセキュリティリスクないのかなあ?
キーロガーとかしかけられたら脆弱極まりないね
ロガーなしでも、数字をあまり入力しない業務なのに一部の数字キートップだけ擦り減っていたりすると危険かも。
キートップを綺麗に掃除します。誰かがパスワードを入力します。指紋のあるキーを記録します。
入力時の動作の観察と組み合わせて、特定します。
みたいな。
なるほど俺の彼女がキーボードまで掃除してくれる理由……
うちはさらにパスワードの長さが16文字まで、変更画面では平文でパスワード表示だ
そしてcapslockやnumlock(ノート)に気づかずロックさせるとw
そう無意味でもない。定期的なパスワード変更の実施を聞けば会社のセキュリティレベルを知ることができる。もちろんやっていればアウト。
知らないで古い常識で運用しているか、複数人で共有されるパスワードの利用が多いかのどちらかですからね。
Wi-FiのステルスSSIDでセキュリティレベルが上がるという幻想も同じですが、いい加減廃れてほしい。
パスワードが漏れたのに気付かない場合とかどうするんだろ。
漏れてから気付くまでの期間が3ヶ月なり平均して1.5ヶ月なりより長ければ意味がありますけど、45日も入られ放題が続いた後で変更しても意味がないんじゃないでしょうか。
意味がないってのがよくわかりません。何か必要があるまで、情報を盗んだり、改変したりしないんじゃないでしょうか。
入られ放題のシステムは、放置でいいと?
wifiの暗号キーも、数十分とかの間隔で、自動的に更新されますが、アレも無意味なんでしょうか?違いがよくわからない。
破るのに数時間かかる鍵があるとして、数十分間隔で変わるのと数か月間隔で変わるのだったら、後者に意味はありますか?数か月のうち(数か月-数時間)の間は侵入不能なのだからそれでよい、と言えますか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
よくある勘違い (スコア:5, すばらしい洞察)
無意味(というか有害)なのは、「定期的なパスワード変更を(システム側で)強制すること」です。
Re:よくある勘違い (スコア:4, 興味深い)
うちのシステムがそれだ。
三ヶ月に一回変更しないとログインできなくなる。
パスワードに単語らしきものが入っていると弾かれる。
変更履歴を持っていて一度使ったパスワードは二度と使えない。
パスワードを忘れた場合の再設定は書類を書いて対面認証。
そりゃ、ポストイットに書いてディスプレイに貼り付けが横行するわ。
Re: (スコア:0)
>マイクロソフト のコーマック・ハーリー主任研究員は、人類が1日にパスワード入力に費やす時間が計1300年相当を超えていると話す。
日本の貢献度は高いと思う
弊社の場合 (スコア:3, 興味深い)
確かに高そうだ。毎日数十回もパスワードを入力させられてる弊社だけでも、会社全体では一日あたりで延べ40日分パスワード入力に時間を費やしてるって試算があった。
ちなみにこれはセキュリティ委員会で「いくらなんでも無駄すぎないか」という主張の補強に使われたのだが、「セキュリティは全てに優先する」ということで流されてた。
・・・ところで、同じパスワードを毎日数十回も打ち込むのって、それはそれでセキュリティリスクないのかなあ?
Re: (スコア:0)
全てに優先するわりに効果の定量的な測定とかする気もなさそうなあたりがいかにもジャパニーズ
> ・・・ところで、同じパスワードを毎日数十回も打ち込むのって、それはそれでセキュリティリスクないのかなあ?
キーロガーとかしかけられたら脆弱極まりないね
Re:弊社の場合 (スコア:1)
ロガーなしでも、
数字をあまり入力しない業務なのに一部の数字キートップだけ擦り減っていたりすると危険かも。
Re: (スコア:0)
キートップを綺麗に掃除します。
誰かがパスワードを入力します。
指紋のあるキーを記録します。
入力時の動作の観察と組み合わせて、特定します。
みたいな。
Re:弊社の場合 (スコア:1)
なるほど俺の彼女がキーボードまで掃除してくれる理由……
Re: (スコア:0)
うちはさらにパスワードの長さが16文字まで、変更画面では平文でパスワード表示だ
Re: (スコア:0)
そしてcapslockやnumlock(ノート)に気づかずロックさせるとw
Re:よくある勘違い (スコア:2)
Re: (スコア:0)
そう無意味でもない。
定期的なパスワード変更の実施を聞けば会社のセキュリティレベルを知ることができる。
もちろんやっていればアウト。
Re: (スコア:0)
知らないで古い常識で運用しているか、複数人で共有されるパスワードの利用が多いかのどちらかですからね。
Wi-FiのステルスSSIDでセキュリティレベルが上がるという幻想も同じですが、いい加減廃れてほしい。
Re: (スコア:0)
パスワードが漏れたのに気付かない場合とかどうするんだろ。
Re:よくある勘違い (スコア:2)
漏れてから気付くまでの期間が3ヶ月なり平均して1.5ヶ月なりより長ければ意味がありますけど、45日も入られ放題が続いた後で変更しても意味がないんじゃないでしょうか。
Re: (スコア:0)
意味がないってのがよくわかりません。
何か必要があるまで、情報を盗んだり、改変したりしないんじゃないでしょうか。
入られ放題のシステムは、放置でいいと?
Re: (スコア:0)
wifiの暗号キーも、数十分とかの間隔で、自動的に更新されますが、アレも無意味なんでしょうか?
違いがよくわからない。
Re:よくある勘違い (スコア:2)
破るのに数時間かかる鍵があるとして、数十分間隔で変わるのと数か月間隔で変わるのだったら、後者に意味はありますか?
数か月のうち(数か月-数時間)の間は侵入不能なのだからそれでよい、と言えますか?