アカウント名:
パスワード:
定期的にパスワードを変更しようがしまいが、複数のサービスで使い回したら駄目ってのが前提にある。
それを遵守するためには何かしらのパスワード管理ツールが必要なんだけど、困ったことに頭の固い日本の企業はその手のツールを許可しない。ついでに言うなら個人に対する啓蒙も不足してる。本来、糾弾されるべきはこの辺の駄目さであって、パスワードを使い回す人じゃないと思うんだよなぁ。
「複数のサービスでパスワードを使い回さず、かつそれぞれに十分の強度のパスワードを設定して記憶しておく」なんて人間業じゃないからね。できる人もいるかもしれないが、少なくとも一般人に求めるものじゃないし。
「パスワードは、それを送った先のサービス運営者が覗きうるものなのだ」という前提を啓蒙してしまった方がいいのかも。故に、その個人情報を使ってそのユーザーが利用している別のサービスを悪意の運営者が不正利用する事は「当然」発生する事態である。だから、パスワードを使い回してはならないのだ、と。
Yahooのパスワード不要ログインはまだ野心的な試みだと思うけど、パスワード定期変更は不要だ、いややっぱり必要だという議論はパスワード認証が本質的に抱えている脆弱さから生まれるもので、ユーザーにより安全なログインを提供するという目的での最終到達点は「パスワードを変更しない」ではなく「パスワード認証はやめる」なのだと思う。定期変更強制をやめる方策は脆弱な文字列への変更を防止するための苦肉の策だが、使い回しは同様に脆弱であり、パスワード認証というシステムはそれを阻止する具体的対策を提示できない。
パスワード管理ツールという解はある意味素のパスワード認証よりも一歩次のステージに進んだものとも考えられる。パス「ワード」という言葉には暗に人間がそれを覚えておくというニュアンスが含まれていた、少なくともそれが考案された当時は。しかし管理ツールを使うユーザーはもはやそのワードを覚えておらず、記憶する気のない程度に複雑なキーを用いていることだろう。この状態は、パスワード認証の脆弱性をある程度克服したものと言える。
LastPassみたいに、サービス停止時には何一つログインすらできなくなるわけですか。ご愁傷様。
典型的な人だな、この問題から何も学ぼうとしない。ただただ己の認知している方式を変えたくないだけで、同様の事態を何度も繰り返すことを何ら気に留めていない。
あなたが学ぶべきことは、言葉で非難しても相手は行動を変えることはないってことだ。単に留飲を下げたいだけならそれでもいいが、本当に状況を変えたいと思っているのなら、他の方法をとるべきだったね。
大切なお客様ならともかく、
これに暖かい声を掛けてやる程優しくはなれないね。ご愁傷様。
こんな話もあったね→トレンドマイクロのパスワード管理ツールにパスワードを盗まれ遠隔操作される脆弱性(2016年) [gigazine.net]。
今はまだ、パスワード管理ツールの信用は担保されてない時代と言える。それに、少なくともトラブル起こした会社のは使えねーわ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
定期的なパスワードの変更 (スコア:3)
それをユーザーに押し付けているあたり、結局ダメダメな感じ。
Re: (スコア:1)
定期的にパスワードを変更しようがしまいが、複数のサービスで使い回したら駄目ってのが前提にある。
それを遵守するためには何かしらのパスワード管理ツールが必要なんだけど、困ったことに頭の固い日本の企業はその手のツールを許可しない。ついでに言うなら個人に対する啓蒙も不足してる。
本来、糾弾されるべきはこの辺の駄目さであって、パスワードを使い回す人じゃないと思うんだよなぁ。
「複数のサービスでパスワードを使い回さず、かつそれぞれに十分の強度のパスワードを設定して記憶しておく」なんて人間業じゃないからね。できる人もいるかもしれないが、少なくとも一般人に求めるものじゃないし。
Re:定期的なパスワードの変更 (スコア:0)
「パスワードは、それを送った先のサービス運営者が覗きうるものなのだ」という前提を啓蒙してしまった方がいいのかも。
故に、その個人情報を使ってそのユーザーが利用している別のサービスを悪意の運営者が不正利用する事は「当然」発生する事態である。
だから、パスワードを使い回してはならないのだ、と。
Yahooのパスワード不要ログインはまだ野心的な試みだと思うけど、
パスワード定期変更は不要だ、いややっぱり必要だという議論はパスワード認証が本質的に抱えている脆弱さから生まれるもので、
ユーザーにより安全なログインを提供するという目的での最終到達点は
「パスワードを変更しない」ではなく「パスワード認証はやめる」なのだと思う。
定期変更強制をやめる方策は脆弱な文字列への変更を防止するための苦肉の策だが、使い回しは同様に脆弱であり、
パスワード認証というシステムはそれを阻止する具体的対策を提示できない。
パスワード管理ツールという解はある意味素のパスワード認証よりも一歩次のステージに進んだものとも考えられる。
パス「ワード」という言葉には暗に人間がそれを覚えておくというニュアンスが含まれていた、少なくともそれが考案された当時は。
しかし管理ツールを使うユーザーはもはやそのワードを覚えておらず、記憶する気のない程度に複雑なキーを用いていることだろう。
この状態は、パスワード認証の脆弱性をある程度克服したものと言える。
Re: (スコア:0)
LastPassみたいに、サービス停止時には何一つログインすらできなくなるわけですか。
ご愁傷様。
Re: (スコア:0)
典型的な人だな、この問題から何も学ぼうとしない。
ただただ己の認知している方式を変えたくないだけで、同様の事態を何度も繰り返すことを何ら気に留めていない。
Re: (スコア:0)
あなたが学ぶべきことは、言葉で非難しても相手は行動を変えることはないってことだ。単に留飲を下げたいだけならそれでもいいが、本当に状況を変えたいと思っているのなら、他の方法をとるべきだったね。
Re: (スコア:0)
大切なお客様ならともかく、
LastPassみたいに、サービス停止時には何一つログインすらできなくなるわけですか。
ご愁傷様。
これに暖かい声を掛けてやる程優しくはなれないね。
ご愁傷様。
Re: (スコア:0)
こんな話もあったね→トレンドマイクロのパスワード管理ツールにパスワードを盗まれ遠隔操作される脆弱性(2016年) [gigazine.net]。
今はまだ、パスワード管理ツールの信用は担保されてない時代と言える。
それに、少なくともトラブル起こした会社のは使えねーわ。