アカウント名:
パスワード:
既にお漏れになった場合だけよね。そもそもパスワードを定期的に変更しろっていう理由や初出は何なんだろう。
桁数や使える文字種が少ない場合は、変更に意味があるよ。クレカとかキャッシュカードのパスワードなどが代表的。
なぜ桁数や使える文字種が少ない場合は変更に意味があるのか説明できますか?
ブルートフォースアタックが一周するまでに要する時間が短いので一周する前に変えないと確実に破られる。普通は3トライミスでロックアウトとか、ブルートフォースアタックの抑止機能を入れて対処するけどね。
仮にブルートフォースアタックを受けているとして、どんな順番で行われているか不明で、今どこまで進んでいるか不明で、パスワードを変更することが本当に得なんですか?
パスワードの定期的変更について徳丸さんに聞いてみた(1) | 徳丸浩の日記 [tokumaru.org]
徳丸: それが、意味がないのですよ。パスワードを定期的に変更すべしという人の中には、パスワードを変更すると「ひらりと」パスワード攻撃を避けることができるという人がいますが、それは違います。高橋: 違うのですか?徳丸: はい。攻撃側も防御側も相手の手の内がわからない状態なので、「たまたま攻撃をかわせる」可能性もあれば、「パスワードを変更したら、たまたま攻撃に掛かってしまう」場合もあります。闇夜にむやみやたらに鉄砲を撃ってくるのを避ける状況を想像してみて下さい。むやみによけても、よけた先で弾に当たるかもしれません。
徳丸: それが、意味がないのですよ。パスワードを定期的に変更すべしという人の中には、パスワードを変更すると「ひらりと」パスワード攻撃を避けることができるという人がいますが、それは違います。
高橋: 違うのですか?
徳丸: はい。攻撃側も防御側も相手の手の内がわからない状態なので、「たまたま攻撃をかわせる」可能性もあれば、「パスワードを変更したら、たまたま攻撃に掛かってしまう」場合もあります。闇夜にむやみやたらに鉄砲を撃ってくるのを避ける状況を想像してみて下さい。むやみによけても、よけた先で弾に当たるかもしれません。
そうなると確率論の問題だから、「定期的な替えたほうがよくね?」になる。一定数球が入り1球だけ当たりで他はすべてハズレの抽選機において、パスワードを状態は単純に球をどんどん出して行っている状態だが、定期的にパスワードを変えることによって球の数が補充される。もちろん補充したところで当たることもあるが、球が補充されない状態よりかは相当マシ。
リバースブルートフォース攻撃に弱くなるって言ってるんだよ。自分から弾に当たりに行くようなものって言うのはそういう事。なので定期的な変更よりパスワードの強度を上げる方が重要視される。
パスワード強度を上げることの方が重要視されるのは同意するが、リバースブルートフォースでも元から入っている当たり玉が増えるだけで考え方は同じだぞ。いつ当たるかわからない以上は球が減ったままにしとく方が確率論としてはダメ。そんなんだから今は多要素認証が重要視されるわけで、そのうち単一要素認証はなくなる。
その説明は、当たったパスワードは、その瞬間に1度だけ使うと思ってるところがダメ。当たったパスワードをこっそりといつまでも使用したり、様子を見て後で使うこともある。だから変更に意味がある。
> ブルートフォースアタックが一周するまでに要する時間が短いので
本当にそうか?
たとえばパスワードが1文字、使える文字がAとBとCの3文字だけとして1) 利用者がパスワードをCに設定2) 攻撃者はA、Bでアタック3) 利用者がパスワードをAに設定4) 攻撃者がCでアタックって順番になれば3)でパスワードを変えた効果があるけど
例えば2周目の攻撃で5) 攻撃者がAでアタックとなると突破される
そしてそもそも攻撃者が ABCの順番で攻撃してくるとは限らない。2)のときに攻撃者がB、Cでアタックしてきたら
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
パスワード変更で意味あるのは (スコア:0)
既にお漏れになった場合だけよね。
そもそもパスワードを定期的に変更しろっていう理由や初出は何なんだろう。
Re: (スコア:-1)
桁数や使える文字種が少ない場合は、変更に意味があるよ。
クレカとかキャッシュカードのパスワードなどが代表的。
Re: (スコア:0)
なぜ桁数や使える文字種が少ない場合は変更に意味があるのか説明できますか?
Re:パスワード変更で意味あるのは (スコア:0)
ブルートフォースアタックが一周するまでに要する時間が短いので
一周する前に変えないと確実に破られる。
普通は3トライミスでロックアウトとか、ブルートフォースアタックの抑止機能を入れて対処するけどね。
Re: (スコア:0)
仮にブルートフォースアタックを受けているとして、どんな順番で行われているか不明で、今どこまで進んでいるか不明で、
パスワードを変更することが本当に得なんですか?
Re: (スコア:0)
パスワードの定期的変更について徳丸さんに聞いてみた(1) | 徳丸浩の日記 [tokumaru.org]
Re: (スコア:0)
そうなると確率論の問題だから、「定期的な替えたほうがよくね?」になる。
一定数球が入り1球だけ当たりで他はすべてハズレの抽選機において、パスワードを状態は単純に球をどんどん出して行っている状態だが、
定期的にパスワードを変えることによって球の数が補充される。もちろん補充したところで当たることもあるが、球が補充されない状態よりかは相当マシ。
Re: (スコア:0)
リバースブルートフォース攻撃に弱くなるって言ってるんだよ。
自分から弾に当たりに行くようなものって言うのはそういう事。
なので定期的な変更よりパスワードの強度を上げる方が重要視される。
Re: (スコア:0)
パスワード強度を上げることの方が重要視されるのは同意するが、リバースブルートフォースでも元から入っている当たり玉が増えるだけで考え方は同じだぞ。いつ当たるかわからない以上は球が減ったままにしとく方が確率論としてはダメ。
そんなんだから今は多要素認証が重要視されるわけで、そのうち単一要素認証はなくなる。
Re: (スコア:0)
その説明は、当たったパスワードは、その瞬間に1度だけ使うと思ってるところがダメ。
当たったパスワードをこっそりといつまでも使用したり、様子を見て後で使うこともある。
だから変更に意味がある。
Re: (スコア:0)
> ブルートフォースアタックが一周するまでに要する時間が短いので
本当にそうか?
たとえばパスワードが1文字、使える文字がAとBとCの3文字だけとして
1) 利用者がパスワードをCに設定
2) 攻撃者はA、Bでアタック
3) 利用者がパスワードをAに設定
4) 攻撃者がCでアタック
って順番になれば3)でパスワードを変えた効果があるけど
例えば2周目の攻撃で
5) 攻撃者がAでアタック
となると突破される
そしてそもそも攻撃者が ABCの順番で攻撃してくるとは限らない。2)のときに攻撃者がB、Cでアタックしてきたら