アカウント名:
パスワード:
独り身で自分以外誰も家に入れないと決めつけた想定だと意味が薄いように見えるだろうけれども、彼女を取っ替え引っ替え連れ込む人や、鍵を安全に運用してくれる保証の無い子供がいる家庭なら十分に意味があるだろう。詳しい状況のわかっている特定の個人を相手にだけ話すということでなければ、安全サイドの勧告をしておくに超したことはない。
それは『パスワードを信用できない他者と共有する』みたいな話で、前提条件として不適だろう。
通常のパスワード運用が前提なのだから、例え話としては、『自分1人だけが使う部屋の鍵』という設定にしとかなきゃ意味がない。
仮に、他人とパスワードを共有するような場合でも、メインのパスワードを他人に教えた上でパスワードを定期的に更新します。って対応は下策だと思うけどな。
「鍵を持ち歩いていると、ちょっと目を離した隙に鍵を拝借されて合い鍵を作られたりするかもしれない。そうして合い鍵で空き巣に入られるかもしれない」という危険性については、定期的に錠前を変えることで対応できますね。#2chのキチママ系スレッド見てると、たまにそういうの見かける…
まあ、その場合の対策としては、錠を変えるのではなく、「合い鍵を作れない、セキュリティ度の高い錠前にする」「こっそり合い鍵は作られたりしないよう、鍵を肌身離さず持ち歩く」という方向を強化すべきだろうと私は思いますが…そこに自信がないと、錠を変えるという対策に流れてしまうんでしょうねぇ。
前提が違うけど、職場のサーバーなんかの複数担当者が共有で使用するパスワードなんかは定期的に更新するのが一般的よね。鍵の例え話に置き換えると貸体育館とか貸会議室の鍵を定期的に変える運用?みたいな?実際してるのかな。
パスワードは一度知ったらずっと利用可能ですから、物理的な鍵が必要な現実世界の錠とは違うのでは。共有IDのパスワード変更は、異動者、退職者、その他予期せずにパスワードを知ってしまった人の対応のためでしょう。
サーバー管理的な作業をする複数ユーザに適切な権限を付与するのではなく、共有しているのはなぜでしょう。誰が何をやったかわからなくなりませんか。
×定期的○人事異動、担当者異動などのイベントが起こった際
サーバーの管理に一般的っては、いうものがあるのか?
彼女を取っ替え引っ替え連れ込む人や、鍵を安全に運用してくれる保証の無い子供がいる家庭
鍵の使いまわしについては書いていないので、同じ家に別々の鍵を使って入るのだと仮定すれば、彼女や子供の目や耳を潰したり、喉を焼くという手が有る。
書斎に鍵をつけよう
書いてる本人も適切とは言えるかどうかわからないと言ってるように、個人的には表題以上の意味が無いように思える。
アカウントのパスワードを普段どのように運用しているか、とか他の話が入ってくると、その結果どういうリスクが「どのように」起きるかという点でいろいろ齟齬が出てくる。
一つのアカウントを家族共用しているとした場合、家族が家の玄関のカギをみんなが持っていると例えられれる。が、 鍵の紛失は…パスワードを書いたメモの紛失? 合鍵は…他の人にパスワードを教えた?という風に当てはめるかどうかは、個人の認識によってズレが出てくる。そして、パスワードの頻繁な変更は結局安易な文字列や使い回しを誘発し、結果的にセキュリティレベルを下げてしまうというリスクについては、この家の鍵の例では表しにくい。また、上記のように当てはめていったとしても、じゃあ問題の根本とか対策とかの話になってくると話が拡散してきて論点がずれてしまう。#想定通りに鍵を運用しない相手(勝手に他人に合鍵を作らせてしまう)ような人間に#家の鍵を渡す運用が適切かどうかとか#そもそも共用アカウントに漏れて困る大事なデータ入れるなとか#話があっちこっちに飛んでしまう
結局は「1アカウントには1個人のみが対応する(1アカウントを複数人で使いまわすことはない)」という原則に限定し、じゃあその状況でパスワードを家の鍵に、アクセス解析を監視サービスに、情報の盗難を物品の盗難にたとえたら、こんな話になるんだよ、というだけでしょう。
似て非なるものに置き換えた例え話でしかなく、つまりは非なる話を持ち出しただけで最初から意味の無い話。
何に入るためのアカウント/パスワードなのかってところですよね。家のドアの鍵に例えるくらいだから、おそらくは仕事上重要なシステム、または自宅PCのプライベートな情報にアクセスするためのパスワードだと思うんですが、徳丸氏はそのあたりをはっきりさせずに書いているものだから、なんだか混乱してる方が多数。
鍵の定期的な更新で助かるパターンというのは、
・パスワード管理がずっと甘い状態にある・他のサービスで使うパスワードが漏えいした
くらいのものですが、そもそも前者は家の鍵には不適切だし、後者もいわば「自転車の鍵と家の鍵が共用」みたいなことですかね。
たとえば集合住宅だと、住人が入れ替わると鍵も新しいのに換えるのが筋なんだけど、実際には他の部屋と入れ替える(101に807の鍵を入れて、807には324の鍵を入れるみたいな)だけで、必ずしも新しいのに換えるとは限らないみたいな話は聞いたことがある。
仮にそうだとすると、古い住人が自分の部屋(807)用に作った合い鍵で、他の部屋(101)に自由に入れたりするというリスクが残ることになる。
#他にもホテルのマスターキーみたいなのだと、話がややこしくなりそうだ。
> 彼女を取っ替え引っ替え連れ込む人や、鍵を安全に運用してくれる保証の無い子供がいる家庭なら十分に意味があるだろう。
こういう運用だったら、同じパスワードを1か月放置したらまずいでしょう。
> 安全サイドの勧告をしておくに超したことはない
この考え方が既にダメなんだよな。落語の寿限無と一緒で無駄なものは無駄なんだから。
ドア鍵キチは窓についてはどう考えてるんですかね?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
みんなが想定通りの運用をするとは限らない (スコア:1)
独り身で自分以外誰も家に入れないと決めつけた想定だと意味が薄いように見えるだろうけれども、彼女を取っ替え引っ替え連れ込む人や、鍵を安全に運用してくれる保証の無い子供がいる家庭なら十分に意味があるだろう。
詳しい状況のわかっている特定の個人を相手にだけ話すということでなければ、安全サイドの勧告をしておくに超したことはない。
Re:みんなが想定通りの運用をするとは限らない (スコア:3, すばらしい洞察)
それは『パスワードを信用できない他者と共有する』みたいな話で、
前提条件として不適だろう。
通常のパスワード運用が前提なのだから、例え話としては、
『自分1人だけが使う部屋の鍵』という設定にしとかなきゃ意味がない。
仮に、他人とパスワードを共有するような場合でも、
メインのパスワードを他人に教えた上でパスワードを定期的に更新します。
って対応は下策だと思うけどな。
Re:みんなが想定通りの運用をするとは限らない (スコア:1)
「鍵を持ち歩いていると、ちょっと目を離した隙に鍵を拝借されて合い鍵を作られたりするかもしれない。そうして合い鍵で空き巣に入られるかもしれない」という危険性については、定期的に錠前を変えることで対応できますね。
#2chのキチママ系スレッド見てると、たまにそういうの見かける…
まあ、その場合の対策としては、錠を変えるのではなく、「合い鍵を作れない、セキュリティ度の高い錠前にする」「こっそり合い鍵は作られたりしないよう、鍵を肌身離さず持ち歩く」という方向を強化すべきだろうと私は思いますが…
そこに自信がないと、錠を変えるという対策に流れてしまうんでしょうねぇ。
Re: (スコア:0)
前提が違うけど、職場のサーバーなんかの複数担当者が共有で使用するパスワードなんかは定期的に更新するのが一般的よね。
鍵の例え話に置き換えると貸体育館とか貸会議室の鍵を定期的に変える運用?みたいな?
実際してるのかな。
Re: (スコア:0)
パスワードは一度知ったらずっと利用可能ですから、物理的な鍵が必要な現実世界の錠とは違うのでは。
共有IDのパスワード変更は、異動者、退職者、その他予期せずにパスワードを知ってしまった人の対応のためでしょう。
Re:みんなが想定通りの運用をするとは限らない (スコア:1)
これは定期変更ではなく異動者や退職者が発生した時点で変更すべきですね。定期変更される事が分かっているのなら、悪意のある異動者や退職者は速攻で侵入するでしょうから。
「予期せずにパスワードを知ってしまった人」ですが、これも定期的に変更される事を予期しているなら悪意があれば速攻で侵入してくると思われるので、定期変更で安全が確保できる訳では無いかと。まあ気休めにはなるでしょうが。
Re: (スコア:0)
サーバー管理的な作業をする複数ユーザに適切な権限を付与するのではなく、共有しているのはなぜでしょう。
誰が何をやったかわからなくなりませんか。
Re: (スコア:0)
×定期的
○人事異動、担当者異動などのイベントが起こった際
Re: (スコア:0)
サーバーの管理に一般的っては、いうものがあるのか?
Re:みんなが想定通りの運用をするとは限らない (スコア:2)
鍵の使いまわしについては書いていないので、同じ家に別々の鍵を使って入るのだと仮定すれば、彼女や子供の目や耳を潰したり、喉を焼くという手が有る。
Re:みんなが想定通りの運用をするとは限らない (スコア:1)
書斎に鍵をつけよう
「パスワード」を「鍵」に変えた、以上の意味を見出してはいけない (スコア:1)
書いてる本人も適切とは言えるかどうかわからないと言ってるように、
個人的には表題以上の意味が無いように思える。
アカウントのパスワードを普段どのように運用しているか、
とか他の話が入ってくると、
その結果どういうリスクが「どのように」起きるかという点でいろいろ齟齬が出てくる。
一つのアカウントを家族共用しているとした場合、
家族が家の玄関のカギをみんなが持っていると例えられれる。が、
鍵の紛失は…パスワードを書いたメモの紛失?
合鍵は…他の人にパスワードを教えた?
という風に当てはめるかどうかは、個人の認識によってズレが出てくる。
そして、パスワードの頻繁な変更は結局安易な文字列や使い回しを誘発し、
結果的にセキュリティレベルを下げてしまうというリスクについては、
この家の鍵の例では表しにくい。
また、上記のように当てはめていったとしても、じゃあ問題の根本とか
対策とかの話になってくると話が拡散してきて論点がずれてしまう。
#想定通りに鍵を運用しない相手(勝手に他人に合鍵を作らせてしまう)ような人間に
#家の鍵を渡す運用が適切かどうかとか
#そもそも共用アカウントに漏れて困る大事なデータ入れるなとか
#話があっちこっちに飛んでしまう
結局は「1アカウントには1個人のみが対応する(1アカウントを複数人で
使いまわすことはない)」という原則に限定し、
じゃあその状況でパスワードを家の鍵に、アクセス解析を監視サービスに、
情報の盗難を物品の盗難にたとえたら、こんな話になるんだよ、というだけでしょう。
Re: (スコア:0)
似て非なるものに置き換えた例え話でしかなく、つまりは非なる話を持ち出しただけで最初から意味の無い話。
Re: (スコア:0)
何に入るためのアカウント/パスワードなのかってところですよね。
家のドアの鍵に例えるくらいだから、おそらくは仕事上重要なシステム、
または自宅PCのプライベートな情報にアクセスするためのパスワードだと思うんですが、
徳丸氏はそのあたりをはっきりさせずに書いているものだから、なんだか混乱してる方が多数。
鍵の定期的な更新で助かるパターンというのは、
・パスワード管理がずっと甘い状態にある
・他のサービスで使うパスワードが漏えいした
くらいのものですが、そもそも前者は家の鍵には不適切だし、
後者もいわば「自転車の鍵と家の鍵が共用」みたいなことですかね。
Re:みんなが想定通りの運用をするとは限らない (スコア:1)
たとえば集合住宅だと、住人が入れ替わると鍵も新しいのに換えるのが筋なんだけど、
実際には他の部屋と入れ替える(101に807の鍵を入れて、807には324の鍵を入れるみたいな)だけで、
必ずしも新しいのに換えるとは限らないみたいな話は聞いたことがある。
仮にそうだとすると、古い住人が自分の部屋(807)用に作った合い鍵で、
他の部屋(101)に自由に入れたりするというリスクが残ることになる。
#他にもホテルのマスターキーみたいなのだと、話がややこしくなりそうだ。
Re: (スコア:0)
> 彼女を取っ替え引っ替え連れ込む人や、鍵を安全に運用してくれる保証の無い子供がいる家庭なら十分に意味があるだろう。
こういう運用だったら、同じパスワードを1か月放置したらまずいでしょう。
Re: (スコア:0)
> 安全サイドの勧告をしておくに超したことはない
この考え方が既にダメなんだよな。落語の寿限無と一緒で無駄なものは無駄なんだから。
Re: (スコア:0)
ドア鍵キチは窓についてはどう考えてるんですかね?