アカウント名:
パスワード:
元記事を読む限り
そこで研究チームは、弱いパスワードの使用や使い回しを排除する戦略は「次善の策」と位置付け、ユーザーができることには限界があるという前提の下、アカウントのグループによっては使い回しを容認することを提案した。
つまり、使い回しを容認する方が大事という主張だと読めたが。正反対に解釈していませんか?>タレコミ主
「次善の策」って言葉の意味からすれば、元記事の方が日本語として意味がわからない。
(面倒を強いられる)弱いパスワードの使用や使い回しを排除する戦略に対する「次善の策」として
あたりが妥当じゃないかなー
元の論文 [microsoft.com]の結論部分をみた感じだと、そうじゃないらしい。
漏洩がもたらす損失と、ユーザーの負担を最小化することが目的なので、「(面倒を強いられる)弱いパスワードの使用や使い回しを排除する」のはユーザーの負担が大きすぎるので最善ではない、という主張の模様。
じゃあ、最善の策は?っていうと、一定期間のうちに漏洩する可能性Pと、漏洩した際の被害Lをそれぞれ数値化して、Pの総和とLの総和の積が同じくらいになるグループ単位で管理すると良い、らしい。Pが全て同じくらいなら、Lに比例するので、個々のLが大きい時は小さなグループ、個々のLが小さな時は大きなグループになる。
# 内容が全然違う可能性があるので気になる人は論文を読んでください。
なるほど、最善や次善のものさしは単なる安全性ではなく「潜在リスクとユーザーの負担の積(あるいは総和?)が最小になるもの」で評価しようってことですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
で、どっちが「次善の策」? (スコア:0)
元記事を読む限り
つまり、使い回しを容認する方が大事という主張だと読めたが。
正反対に解釈していませんか?>タレコミ主
Re: (スコア:1)
「次善の策」って言葉の意味からすれば、元記事の方が日本語として意味がわからない。
(面倒を強いられる)弱いパスワードの使用や使い回しを排除する戦略に対する「次善の策」として
あたりが妥当じゃないかなー
うじゃうじゃ
Re:で、どっちが「次善の策」? (スコア:5, 参考になる)
元の論文 [microsoft.com]の結論部分をみた感じだと、そうじゃないらしい。
漏洩がもたらす損失と、ユーザーの負担を最小化することが目的なので、
「(面倒を強いられる)弱いパスワードの使用や使い回しを排除する」
のはユーザーの負担が大きすぎるので最善ではない、という主張の模様。
じゃあ、最善の策は?っていうと、一定期間のうちに漏洩する可能性Pと、漏洩した際の被害Lを
それぞれ数値化して、Pの総和とLの総和の積が同じくらいになるグループ単位で管理すると良い、らしい。
Pが全て同じくらいなら、Lに比例するので、個々のLが大きい時は小さなグループ、個々のLが小さな時は大きなグループになる。
# 内容が全然違う可能性があるので気になる人は論文を読んでください。
Re:で、どっちが「次善の策」? (スコア:1)
なるほど、最善や次善のものさしは単なる安全性ではなく「潜在リスクとユーザーの負担の積(あるいは総和?)が最小になるもの」で評価しようってことですね。
うじゃうじゃ