パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ワームなどによるWebサイト改ざん対策の特効薬「FTPパスワードの強制変更」 」記事へのコメント

  • by Anonymous Coward on 2010年07月02日 19時42分 (#1789362)
    > セキュリティに詳しい人から見ればなんだかなぁ、という感じかもしれないが

    詳しいというか管理する側ですが、むしろやりたいぐらいです。
    すさまじい数の苦情でサポート部が落ちるので、やれませんが…。
    • Re:なんだかなぁ (スコア:4, 参考になる)

      by Anonymous Coward on 2010年07月02日 20時22分 (#1789372)

      私は海外の無料サービスを使っていますけど、数ヶ月に1回パスワードが勝手に変わります。

      最初はなんだコリャ、と思いましたけど、FTPってキックするときでも結構色々なメッセージを送信できるんですよね。で、クライアントの通信欄に「パスワード変更しました。○○で新パスワードを確認してください」って書いてあったので、特に不便な感じはしませんでした。

      1回実験してみて、苦情の数をカウントしてみると、案ずるより生むが安しって感じかもしれませんよ。

      親コメント
    • by Anonymous Coward on 2010年07月02日 20時53分 (#1789379)
      一度にやるのではなく何回かに分けてやればいいのでは?
      ユーザ名の先頭がaから始まる→事前告知メール→パスワード変更→事後告知メール
      ユーザ名の先頭がbから始まる→事前告知メール→パスワード変更→事後告知メール
      以下続く
      親コメント
    • by Anonymous Coward

      > むしろやりたいぐらいです。
      そうそう。

      「軍隊だとこういうの必須」みたいな噂は聞くけど、やっぱ本当なんだろうなあ。
      パスワードの定期的な変更はセキュリティの基本だから。

      ちなみに某銀行のログインパスワードは数ヶ月ごとに変更を促されます。
      まあ当然だけど。

      • by Anonymous Coward

        > パスワードの定期的な変更はセキュリティの基本だから。
        既にウィルスに感染しているマシンでパスワード変更の操作をしても無意味です。
        Gumblarに関していえば、各種ソフトウェアの脆弱性をついてマシンに保存されているパスワードを盗むわけですし、
        ユーザーが定期的にパスワードを変更していても対策にはなりません。

        > ちなみに某銀行のログインパスワードは数ヶ月ごとに変更を促されます。
        これもありがちな設計だけど、「促すだけ」にどの程度の意味があるのかは疑問です。
        効果があるのは、既にパスワードが漏れている場合のみですよね。
        何もしないよりはマシなのかな?

      • by Anonymous Coward

        で、1年に1回しか使わないようなシステムのパスワードでも
        3ヶ月毎に変えさせようという天才が登場するんですね
        (それは、うちの社内システム)

        # さらに過去に使ったパスワードを覚えていて「それもこれも駄目」といい続けて
        # こっちのパスワード記憶システムを破綻させるのやめてくれませんかね…

        • by Anonymous Coward
          パスワードを付箋に書いてモニタ枠に張っておけばまったく問題ありませんよ!

最初のバージョンは常に打ち捨てられる。

処理中...