アカウント名:
パスワード:
何らかの一度きりの不注意によって、実はパスワードが漏れてたんだけど、パスワードが漏れていることを隠したい攻撃者がひっそりと何もアクションをせずに潜んでいる場合は、定期的なパスワード変更は有効でしょう。
けど、そうでない場合。(ソフトウェア的、人的など、何らかの変更後もまだ使える)セキュリティホールの放置による漏れの場合には、何ら効果はないでしょう。また、頻繁にパスワード変更を強制される場合は、覚えやすいパスワードにしてしまいがちなので、逆効果かもしれません。
履歴を覚えていて繰り返し同じパスワードを設定できないシステムをみかけますけど、これってどうなのでしょうか?パスワード履歴が判るということは、サーバ側がクラックされるとクライアントの使用確率の高いパスワード表がごっそり入手できるということだし、管理者権限があれば簡単に判読できてしまうということで逆に危険性が高くなる気がするのですが。この3200万のアカウント情報漏洩ってそういうことでは?
一眠りしたら、認証のときと同じことを履歴分繰り返せばいいだけだと気がつきました.なんでpassword自体を保存しないといけないと思い込んでしまったんだろ?
それにしても3200万のアカウント情報が漏洩したのはどういう経由なんでしょう?ハッシュ値での流出ならTop10くらいなら辞書引きでハッシュが一致したアカウントを集計すれば推定分析にはなるのかな?とも思いましたが、クリアテキストで格納されたテキストを抽出したように読めたのですが、そうすると生パスワードをそれもSQLサーバから見えるところに置いてあったということになりそうですが、そんな運用あり?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
1x8 (スコア:0)
1回目:11111111
2回目:22222222
・
・
・
8回目:88888888
↓
1回目に戻る
という人がいました
案外大丈夫なんだ
#タイトル11111111にしたらダメだと言われてしまった
Re: (スコア:0)
定期的なパスワード変更って何で必要なんですかね。
例えば数字10桁のパスワードが必要なシステムがあったとして、
攻撃者は
0000000000
0000000001
0000000002
…
って試していくでしょ。
設定されたパスワードが9999999999だったとすると、
パスワード変更する事で解析にかかる時間はむしろ短くなりますよね
もちろん変更したことで長くなる場合もあるし、
すでにアタック済みのパスワードに変更すると
攻撃者は解析できない事もあると思います
でも確率的な期待値で考えると完全にプラマイ0でしょう
セキュリティが向上しないのにユーザに余計な手間を
かけさせるシステムは滅びた方がいいと思うよ
Re: (スコア:1)
何らかの一度きりの不注意によって、実はパスワードが漏れてたんだけど、
パスワードが漏れていることを隠したい攻撃者がひっそりと何もアクションをせずに潜んでいる場合は、
定期的なパスワード変更は有効でしょう。
けど、そうでない場合。(ソフトウェア的、人的など、何らかの変更後もまだ使える)セキュリティホールの放置による漏れの場合には、何ら効果はないでしょう。
また、頻繁にパスワード変更を強制される場合は、覚えやすいパスワードにしてしまいがちなので、逆効果かもしれません。
1を聞いて0を知れ!
Re: (スコア:0)
履歴を覚えていて繰り返し同じパスワードを設定できないシステムをみかけますけど、これってどうなのでしょうか?
パスワード履歴が判るということは、サーバ側がクラックされるとクライアントの使用確率の高いパスワード表がごっそり入手できるということだし、管理者権限があれば簡単に判読できてしまうということで逆に危険性が高くなる気がするのですが。
この3200万のアカウント情報漏洩ってそういうことでは?
Re:1x8 (スコア:0)
Re: (スコア:0)
一眠りしたら、認証のときと同じことを履歴分繰り返せばいいだけだと気がつきました.
なんでpassword自体を保存しないといけないと思い込んでしまったんだろ?
それにしても3200万のアカウント情報が漏洩したのはどういう経由なんでしょう?
ハッシュ値での流出ならTop10くらいなら辞書引きでハッシュが一致したアカウントを
集計すれば推定分析にはなるのかな?とも思いましたが、クリアテキストで格納された
テキストを抽出したように読めたのですが、そうすると生パスワードをそれもSQLサーバ
から見えるところに置いてあったということになりそうですが、そんな運用あり?