アカウント名:
パスワード:
いままで意味ないと思っていたけど、このブログを読んで逆に意味あったんだなって私は思ったのだが、大半の人は「基本的に無意味」って理解なんですかね。確かに無意味と思われる定期変更の要請が現状では多いと感じるけど、ケースバイケースでしょ。タイトルやストーリーは煽りすぎじゃないか?
#このストーリーのように特定のケース"のみ"と取るかどうかの違いなのかな。
同意。例えば内部犯行についてはどうか?「「攻撃されている」ことをトリガーとして変更」というが、「攻撃されている」とわからない攻撃はどうするのか?とか、例外は消せないよね。
> 例えば内部犯行についてはどうか?
内部犯行の場合は、定期的変更はほぼ無意味でしょ。たぶんバックドアも植えつけられてて、パスワード変更しようが何しようが、やり放題ですよ。
> 「攻撃されている」とわからない攻撃はどうするのか?
くだんのページに『サイト側も気づかない「完全犯罪」の可能性が高いわけです。この場合は、攻撃者が再度攻撃すると、パスワードを変更していても防御できません』って書いてありますよ?
バックドア植え付けられるようなケースばかりでもないでしょう。素人さんのショルダーハックなどかもしれないし。
労力に比した効果が得られないというだけで、無意味なんてことはないと思うんですけどね。
同意。費用対効果はよくないけど、無意味とも思わなかった。
「パスワードの使い廻しが悪い」っていうけど、これは組織管理的な観点では有効ではない。パスワードの使い廻しは検出するのが困難なので、それに依存することはできないはず。組織的な対応が可能なパスワード変更で補完するのはひとつの考えでしょう。
ずっとパスワードを変えずにいると、ショルダーハックされるリスクはどんどん高くなっていきます。一人の専門家が「意味ない」って言ったからって、それを疑問視することも無く、そのまま思い込んでる人多し。
ショルダーハックは肩越しに覗き見るだけでなく、指紋の跡から読み取ることもあります。
内部犯に読み取られて、パスワードに使っている文字が限定された後、あとは毎日少しずつ並びを変えて試されるでしょう。パスワードを変更しないので、気長にやっていれば現実的な時間で入れます。
これが、銀行口座などを操作できる担当者や管理職だったら、会社のお金は盗まれます。
パスワードを定期的に変更していれば、何度もショルダーハックしないといけなくなるので、阻止率は高くなります。
定期変更は無意味じゃない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
基本的に無意味? (スコア:0)
いままで意味ないと思っていたけど、このブログを読んで逆に意味あったんだなって私は思ったのだが、大半の人は「基本的に無意味」って理解なんですかね。
確かに無意味と思われる定期変更の要請が現状では多いと感じるけど、ケースバイケースでしょ。タイトルやストーリーは煽りすぎじゃないか?
#このストーリーのように特定のケース"のみ"と取るかどうかの違いなのかな。
Re:基本的に無意味? (スコア:1)
"基本的に"より強固な認証方式にしろ、と。
単純に無意味といってしまえばパスワードの定期変更が失われるだけでしょうから、タイトルだけだと確かに言いすぎな感もあります。
# ただ、パスワードの定期変更によって起きやすくなる使い回しの問題などが大きいなら、単純になくなったほうがいいのかも。
にゃー。
Re: (スコア:0)
同意。例えば内部犯行についてはどうか?「「攻撃されている」ことをトリガーとして変更」というが、「攻撃されている」とわからない攻撃はどうするのか?とか、例外は消せないよね。
Re: (スコア:0)
> 例えば内部犯行についてはどうか?
内部犯行の場合は、定期的変更はほぼ無意味でしょ。
たぶんバックドアも植えつけられてて、パスワード変更しようが何しようが、やり放題ですよ。
> 「攻撃されている」とわからない攻撃はどうするのか?
くだんのページに『サイト側も気づかない「完全犯罪」の可能性が高いわけです。
この場合は、攻撃者が再度攻撃すると、パスワードを変更していても防御できません』
って書いてありますよ?
Re: (スコア:0)
バックドア植え付けられるようなケースばかりでもないでしょう。
素人さんのショルダーハックなどかもしれないし。
労力に比した効果が得られないというだけで、
無意味なんてことはないと思うんですけどね。
Re: (スコア:0)
同意。費用対効果はよくないけど、無意味とも思わなかった。
「パスワードの使い廻しが悪い」っていうけど、これは組織管理的な観点では有効ではない。
パスワードの使い廻しは検出するのが困難なので、それに依存することはできないはず。
組織的な対応が可能なパスワード変更で補完するのはひとつの考えでしょう。
Re: (スコア:0)
ずっとパスワードを変えずにいると、ショルダーハックされるリスクはどんどん高くなっていきます。
一人の専門家が「意味ない」って言ったからって、それを疑問視することも無く、そのまま思い込んでる人多し。
ショルダーハックは肩越しに覗き見るだけでなく、指紋の跡から読み取ることもあります。
内部犯に読み取られて、パスワードに使っている文字が限定された後、あとは毎日少しずつ並びを変えて試されるでしょう。
パスワードを変更しないので、気長にやっていれば現実的な時間で入れます。
これが、銀行口座などを操作できる担当者や管理職だったら、会社のお金は盗まれます。
パスワードを定期的に変更していれば、何度もショルダーハックしないといけなくなるので、阻止率は高くなります。
定期変更は無意味じゃない。