パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半」記事へのコメント

  • 最近散見される、Subject にアカウントとパスワードを書いた、「おまえのアカウントとパスワード知ってるぞ、荒らされたくなければビットコインよこせ」なメールって、このデータを元にしてるのかな。

    昔流行った無料ホームページで使った情報で来るから、多分そういうところから流れてくるものをデータベースにしてるんだろうなぁ。古いデータなので放置していますが。

    --
    ほえほえ
    • by Anonymous Coward

      まさか、こんなところで、パスワードの定期変更の有用性が証明されるとは!
      迷惑な話だ

      • by Anonymous Coward on 2019年01月20日 13時57分 (#3551109)

        パスワードの使いまわししてなければ、そもそも流出してもそのアカウントだけ
        パスワードの定期変更をしていても、そのサービスがハッキングされた段階で情報取られるので
        定期変更の意味はなし

        定期変更の有用性はないですよ

        親コメント
        • by Anonymous Coward

          最近のgmailとかだと○○からアクセスがあったけどあなたのですか?みたいに教えてくれるけれど、
          ちょっと前だとメールの中身をずっと見られていた人とかもいるしな。
          自分は定期的にパスワードを変えてるよ。

          • by Anonymous Coward

            あれ、メーラーが同時に複数のサーバの接続を並行して
            行うタイプで、gmailの複数のアカウントに同時接続すると
            googleが「不正な接続があったのでロックした」って
            よく言ってきてうっとおしい。

          • by Anonymous Coward

            それだったら2段階認証のほうが良いのでは?
            「他のすべての Web セッションからログアウト」という機能もありますし。

        • by Anonymous Coward

          「おまえのアカウントとパスワード知ってるぞ」のパスワードが昔のパスワードだったら、脅しとしてかなり弱いと思わない?

          • by Anonymous Coward

            だから、その人質メールは無視しても構わないだろうけどさ、
            その新しいパスワードで何を守ってるの? 精神衛生?

        • by Anonymous Coward

          ないわけではない。定期変更していればそのサービスの継続的な乗っ取りを回避できる。
          作業コストが高いゆえ不利益の多い方策ではあるが、それ自体に効果が無い訳では無い。
          定期変更を強要すると強度の低いパスワードが使われやすく結果リスクが上がるとは言われるが、
          それはそもそも運用の甘さに問題があり、もっと作業コストをかけて強度の高く乱雑なパスワードを使用させなければ何の意味もない。
          逆に作業コストがゼロで済むのなら、定期変更策は十分検討に値する安全策になる。

          定期変更が無駄と念仏のように言い切る主張があるが、その発言の論理性に疑問を抱かずにいられない。
          彼らには定期的に(それは1秒でも1年でもあり得るが)鍵を変えるシステムを全て否定しそうな勢いを感じる。

          • by Anonymous Coward

            乗っ取られた時点でパスワードや住所もろもろ変えられたら継続的に乗っ取られる

            まぁ定期変更でもなんでも、そこらへんは併用できるんで
            十分な強度のあるパスワードを設定し、使い回さないって前提があれば
            定期的に変更するのもいいんじゃないかな

          • by Anonymous Coward

            ワンタイムパスワードでも使ってろとしか。

          • by Anonymous Coward

            パスワードの定期変更は無駄といわれるのは、有効にするために医薬品の注意書き並みに細かい附則事項を守りきる必要があるからです。
            作業コストが減りはすれど0になることは絶対にありません。
            得られるメリットに対するコストが高すぎる、要するに費用対効果が低すぎるため、定期変更は無駄と言い切られているのです。
            定期変更よりも多要素認証を使ったほうがはるかに低コストで高セキュリティを実現できます。
            そこまで定期変更にこだわる理由は何なのでしょう。武田先生なのでしょうか。

            • by Anonymous Coward

              んで、Recaptchaとかいう人をイライラさせるだけのものに変わる認証ツールは出来ましたか?

              • by Anonymous Coward

                reCAPTCHAはこういう場でいう多要素認証とはべつもん
                ボット対策のためのものだし

            • by Anonymous Coward

              定期変更を強制するのはよいとは言えないのはその通りだと思います。
              が、そのためだけに全社員に携帯電話を配れないので多要素認証に切り替えられない。
              私物の電話は業務では使わないというポリシーもあるし、そもそも私用の電話では多要素認証の意味は薄そう。
              となると、パスワードの定期変更は無駄とは言い切りにくい、と考えてます。

              • by Anonymous Coward

                その用途は最も定期変更がアウトな例

                管理側で生成したパスワード渡して変更させないようにしたほうがまし

                覚えられないっていうならYubikeyなどのFIDO導入して配ればいい
                1個あたり$10で買え、まとめ買いならさらに安くなる

              • by Anonymous Coward

                >管理側で生成したパスワード渡して変更させないようにしたほうがまし
                本人のみが知っているべきパスワードを管理側で作って変更不可というのはあり得ないです。
                不正利用(アカウント共用、なりすまし等)されているかどうかが判らないのでダメです。
                (サインインログなどからあり得ない行動を検知して不正利用を見つけるというのも100%ではないので)

                Yubikeyよいけど、1個10$でも人数が多くて結構な金額になります…ホントはこう言うヤツ使うべきだとはおもいますがね。

            • by Anonymous Coward

              作業コストが減りはすれど0になることは絶対にありません。

              なんで?自動化できるユースケースだって普通にあるでしょ。
              どうして絶対なんて思うの?

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...