アカウント名:
パスワード:
プライベートでインターネットにアクセスするだけの一般ユーザに企業ユーザ並みのパスワード運用を求める方々には、「コンピュータリテラシーに乏しい自分の親や知人にも要求するんですか」って言いたい。俺にはできない。どこかで妥協する。
高木浩光流 インターネットの歩き方(後編) [securityblog.jp]
―セキュリティに関する間違った情報が多いという話を1つだけしますと、たとえばパスワードは定期的に変更してくださいってよくいいますよね。これは間違いです、と私は主張しています。むしろ変更しないほうがよい、と。パスワードを毎月変えると覚えられないでしょう。しょっちゅう変えなさいというのは、無理な要求をしているわけです。定期的に変えてくださいといっているサイトに、定期的というのは実際どのくらいですかって聞いてみるとね、誰も答えられないんですよ。
パスワードを定期的に変更する事の効果に関しては、懐疑的な意見がありますね。
徳丸さんの記事(「パスワードの定期変更は「神話」なのか?」 [hatena.ne.jp]、「続パスワードの定期変更は神話なのか」 [hatena.ne.jp])とか、定期変更の間隔を短くしても、効果は頭打ちになる、という計算結果 [hatena.ne.jp]があったり。
パスワードの定期変更よりも、パスワードを1文字長くする方が、ブルートフォースに対する耐性は 100 倍近く高くなるわけだから、最低文字数を上げる方がずっと効果的なはず。
で、最近気がついたんだけど、OCN のメール用のパスワードが最大8文字に、かなり驚いた。 http://help.ocn.ne.jp/ols/mail/10002_m_infochk.html [ocn.ne.jp]
パスワードが最大8文字
これってハッシュじゃなく平文でパスワードを保存してるってことだよなあ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
「ユーザのパスワード運用が」厨は高木氏くらいの定見を持ってから発言しよう (スコア:2, 興味深い)
プライベートでインターネットにアクセスするだけの一般ユーザに企業ユーザ並みのパスワード運用を求める方々には、「コンピュータリテラシーに乏しい自分の親や知人にも要求するんですか」って言いたい。
俺にはできない。どこかで妥協する。
高木浩光流 インターネットの歩き方(後編) [securityblog.jp]
パスワード変更の効果 (スコア:3, 参考になる)
パスワードを定期的に変更する事の効果に関しては、懐疑的な意見がありますね。
徳丸さんの記事(「パスワードの定期変更は「神話」なのか?」 [hatena.ne.jp]、「続パスワードの定期変更は神話なのか」 [hatena.ne.jp])とか、定期変更の間隔を短くしても、効果は頭打ちになる、という計算結果 [hatena.ne.jp]があったり。
パスワードの定期変更よりも、パスワードを1文字長くする方が、ブルートフォースに対する耐性は 100 倍近く高くなるわけだから、最低文字数を上げる方がずっと効果的なはず。
で、最近気がついたんだけど、OCN のメール用のパスワードが最大8文字に、かなり驚いた。
http://help.ocn.ne.jp/ols/mail/10002_m_infochk.html [ocn.ne.jp]
Re: (スコア:0)
パスワードが最大8文字
これってハッシュじゃなく平文でパスワードを保存してるってことだよなあ