アカウント名:
パスワード:
トピック名で重要なのは「(今さら)気付く」という点なのかな,と思って読みました.ひどいデフォルトを設定したらそうなるというのは自然なことにも関わらず.
ちなみにうちのISPだと強度のそこそこ高いパスワードを生成して配布していますが,パスワード変更の方法は提供されていません.これはこれで問題じゃないだろうか?
下手に変更されるとパスワード忘れて面倒で,初期パスワードなら契約書類に同梱しているから面倒が少ない,という方針なんでしょうか?
たぶん,それは私が考えている観点とは別の指摘でしょう.(その考え方にケチつけてるわけじゃないし,正しいとも思います)
簡単に言うと,パスワード管理はユーザーの責任と自由があるべきだ,というのが主張です.つまり,「推測されるパスワードであっても覚えやすい」のは人によっては利点になるはずで,「弱いパスワードだけで定期的に変えてる」人がいてもいいじゃないか,と.
ちなみに,定期的な変更はあまり意味がないという主張 [google.co.jp]が多いようですが,それでも総務省ではそのようにadminに推奨 [soumu.go.jp]しているようです.
弱いパスワードでも定期的に変えてれば問題ないとかいうデタラメな結論に誘導しちゃうとか総務省罪深過ぎ。いや総務省が言ってようが誰が言ってようが主張の中身こそが問題なのに誰かの言っていることを鵜呑みにするバカにつける薬はそもそもないのか。
ランダムな文字列だけど10年変えてない場合とどちらが危険なのかな。
そんな五十歩百歩なジョークはともかく、理想的な顧客ばかりではないという現実も考慮する必要があるよね。一定期間パスワードの変更がないと警告のメールが届くとか、パスワードの強度を表示するくらいしか対策は考えつかないけど。
実際のパスワードに何を使うかは顧客の自由とは思うけど、ISPや他の顧客に被害が及ぶ可能性もあるし、バランスがむずかしいな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
むしろ (スコア:3)
トピック名で重要なのは「(今さら)気付く」という点なのかな,と思って読みました.
ひどいデフォルトを設定したらそうなるというのは自然なことにも関わらず.
ちなみにうちのISPだと強度のそこそこ高いパスワードを生成して配布していますが,
パスワード変更の方法は提供されていません.
これはこれで問題じゃないだろうか?
下手に変更されるとパスワード忘れて面倒で,
初期パスワードなら契約書類に同梱しているから面倒が少ない,
という方針なんでしょうか?
Re: (スコア:0)
パスワードに必要な機能は「変更できること」じゃなくて「推測されないこと」でしょ。
前者を実装するのは後者を実現する方法の一つでしかなく、初期パスワードで十分推測不能なら、前者の機能は必要ない(もちろんあっても困らないけど、逆に推測容易なパスワードに変えられる危険もある)。
Re:むしろ (スコア:4, 興味深い)
たぶん,それは私が考えている観点とは別の指摘でしょう.
(その考え方にケチつけてるわけじゃないし,正しいとも思います)
簡単に言うと,パスワード管理はユーザーの責任と自由があるべきだ,というのが主張です.
つまり,「推測されるパスワードであっても覚えやすい」のは人によっては利点になるはずで,
「弱いパスワードだけで定期的に変えてる」人がいてもいいじゃないか,と.
ちなみに,定期的な変更はあまり意味がないという主張 [google.co.jp]が多いようですが,
それでも総務省ではそのようにadminに推奨 [soumu.go.jp]しているようです.
Re: (スコア:0)
弱いパスワードでも定期的に変えてれば問題ないとかいうデタラメな結論に誘導しちゃうとか総務省罪深過ぎ。
いや総務省が言ってようが誰が言ってようが主張の中身こそが問題なのに誰かの言っていることを鵜呑みにするバカにつける薬はそもそもないのか。
Re:むしろ (スコア:2)
ランダムな文字列だけど10年変えてない場合とどちらが危険なのかな。
そんな五十歩百歩なジョークはともかく、理想的な顧客ばかりではないという現実も考慮する必要があるよね。
一定期間パスワードの変更がないと警告のメールが届くとか、パスワードの強度を表示するくらいしか対策は考えつかないけど。
実際のパスワードに何を使うかは顧客の自由とは思うけど、ISPや他の顧客に被害が及ぶ可能性もあるし、バランスがむずかしいな。