アカウント名:
パスワード:
あまりセキュリティーをわかっていない私が、11カ条が、どのような攻撃に対して有効で、どのような攻撃に対しては無力なのか考えてみたので、間違いがあれば指摘して頂きたく。
> 1.数字、文字、記号で構成された長いパスワードトライアンドエラーでパスワードを探す攻撃に対して、バレる確率が減る。
ユーザー側の機器が、セキュリティーホールやマルウェアによって攻撃者のコントロール下にある場合に対しては、バレる確率に違いはない(他の条文でも同様)。
パスワードを管理しているサーバー側に悪意がある場合や技術力が低い場合にはサーバー側から漏洩するリスクがあるが、それに対しては効果がない(他の条文でも同様)。
> 2.パスワードをメールで送信しない。家族や友人と共有しない漏れる窓口が減ることにより、バレる確率が減る。メールは自分で暗号化しない限り、経路で盗聴されうる。
> 3.パスワードの再設定とそのアップデートパスワードがバレた場合に、それを利用される期間を短くする。バレる確率は大差ない。サーバー側から(ハッシュ化された)パスワードが流出した場合に、(解析等されて)アクセスされる前に再設定出来れば、被害を避けられる。
> 4.2段階認証の利用登録した携帯電話にアクセス出来ない攻撃者による攻撃を困難にする。
5~8は具体的にどのようなことを指すのか調べる暇がないので省略。
> 9.セキュリティで保護されたネットワークを利用する(https://)暗号化して通信することで、経路で盗聴された場合に、その内容が解析されるまでの時間を遅らせる(年単位?)。未来永劫バレてはいけない情報に対する防御にはならない。通信相手がそもそも騙そうとしている場合や、オレオレ証明書の場合には効果がない。
> 10.画面または端末をロックする席を開けた時に誰かに触られるのを避ける。
> 11.ブラウザーやOSを更新するユーザー側の機器が、セキュリティーホールをつかった攻撃者のコントロール下に置かれるのを防ぐ。既にコントロール下にある場合は、マルウェアを仕込まれているかもしれないし、単に更新されたように振舞っているだけでセキュリティーホールは塞がれていないかもしれない。ユーザーが自分で入れたマルウェアには効果がない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
教えて偉い人 (スコア:0)
あまりセキュリティーをわかっていない私が、11カ条が、どのような攻撃に対して有効で、どのような攻撃に対しては無力なのか考えてみたので、間違いがあれば指摘して頂きたく。
> 1.数字、文字、記号で構成された長いパスワード
トライアンドエラーでパスワードを探す攻撃に対して、バレる確率が減る。
ユーザー側の機器が、セキュリティーホールやマルウェアによって
攻撃者のコントロール下にある場合に対しては、
バレる確率に違いはない(他の条文でも同様)。
パスワードを管理しているサーバー側に悪意がある場合や技術力が低い場合には
サーバー側から漏洩するリスクがあるが、それに対しては効果がない(他の条文でも同様)。
> 2.パスワードをメールで送信しない。家族や友人と共有しない
漏れる窓口が減ることにより、バレる確率が減る。
メールは自分で暗号化しない限り、経路で盗聴されうる。
> 3.パスワードの再設定とそのアップデート
パスワードがバレた場合に、それを利用される期間を短くする。バレる確率は大差ない。
サーバー側から(ハッシュ化された)パスワードが流出した場合に、
(解析等されて)アクセスされる前に再設定出来れば、被害を避けられる。
> 4.2段階認証の利用
登録した携帯電話にアクセス出来ない攻撃者による攻撃を困難にする。
5~8は具体的にどのようなことを指すのか調べる暇がないので省略。
> 9.セキュリティで保護されたネットワークを利用する(https://)
暗号化して通信することで、経路で盗聴された場合に、
その内容が解析されるまでの時間を遅らせる(年単位?)。
未来永劫バレてはいけない情報に対する防御にはならない。
通信相手がそもそも騙そうとしている場合や、オレオレ証明書の場合には効果がない。
> 10.画面または端末をロックする
席を開けた時に誰かに触られるのを避ける。
> 11.ブラウザーやOSを更新する
ユーザー側の機器が、セキュリティーホールをつかった攻撃者のコントロール下に置かれるのを防ぐ。
既にコントロール下にある場合は、マルウェアを仕込まれているかもしれないし、単に更新されたように振舞っているだけでセキュリティーホールは塞がれていないかもしれない。
ユーザーが自分で入れたマルウェアには効果がない。