アカウント名:
パスワード:
・三ヶ月で必ず変えないといけない。・直近のn回分のパスワードとかぶるのは利用不可。・名前、生年月日、電話番号などが含まれる文字列は使用不可。
会社の人事勤労系と社内ITシステムとやらの複数のシステムで要求されるパスワードがコレ。いい加減社内の認証系は一つにまとめてくれないかなと思うけど、各部署の壁があるのでそれはデキない相談らしい。素晴らしき縦社会。
#3つめは流石に誰も使わない。はず。
「11111111」「22222222」とかがループで回るケースが多い。
# サンプルはウチの職場。
私が会社のパソコンに設定しているのは自分の名前ですね.考えるのがめんどくさい.当然ドメインコントローラーなどで物理的に設定不可能な場合を除いてですが・・・.
当たり前ですが,家で設定しているパスワードはくっそ長いですし,英大小数字など入り組ませています^^
これで英数字のみ8文字以内とか冗談抜きであったりするからね。♯|\いれたらシステムエラーで大草原。
三か月で必ず変えろということで、付箋使い始めました。
えー、だって忘れちゃうんだもん。そういう、おいらは自称情報セキュリティアドミニストレータ保持者。
つまり、ウェブサービスから「定期的にパスワードを変更してくださいまずは今すぐ」って言う通知が着たら、こいつらやらかしたんだなぁしょうがねぇな、ということか。やっぱり変えたほうがいいんじゃないか・・・。
>つまり、ウェブサービスから「定期的にパスワードを変更してくださいまずは今すぐ」って言う通知が着たら、>こいつらやらかしたんだなぁしょうがねぇな、ということか。
いや。まずは「フィッシングじゃないか?」って疑うべきだ。
> それらが漏えいし、なおかつサービス提供者がそれに気が付かないとか、黙っていたといったリスク
を想定しないなら、対策しなくて良いわけです。が・・・昔使った今は使ってないサイトからの平文パスワード漏洩、を想定した対応として、同じパスワードを複数サイトで長期にわたって使うのを避ける意味はあるわけです。程度問題ではありますが。
パスワードが変更されない場合盗聴者には好都合なのですよね。一度パスワードとIDを入手すれば済むので。このブログを書いたのがそういうことをやってそうな部署ってのがいかにも…
そのためのアクセス解析。自分の覚えのない時間帯に、覚えのない所からのアクセス(ログイン)があったらやばいってこと。
定期的なパスワード変更より定期的なアクセス解析が重要かつ効果的。
それができないサービスもあるのですよ。
2番目のリンクで定期的変更が無意味な理由が3つ挙げられているが、どれもいまいちピンと来ない。
第一の理由は、ユーザが定期的なパスワード変更を確実に実施するとは限らないことである。まず、ユーザにパスワードの定期的変更を呼び掛けただけでは、パスワードを変更しない。パスワードに有効期間を設けて変更を強制するしくみを導入すれば、この問題は解決するが、パスワード忘れに対応するための問い合わせ窓口の開設や再発行のための安全なしくみの提供が必要になるだろう。
→Windowsを始め、たいていの最近のシステムには強制的にパスワードの有効期間を設ける仕組みが備わっているよね。そのような仕組みがない場合の話をされても、反論になっているとは思えない。むしろ、「サービスごとに別パスワードにする」ほうが、システム的な強制が困難じゃないの? それについてはコメントなし?
第二の理由は、ユーザが定期的にパスワードを変更したとしても、使ったことがあるパスワードを使い回したり、他のWebサイトと同じタイミングでパスワードを変更したりと、リスクが十分に軽減されないおそれである。どこかひとつの他のサービスのセキュリティ対策が不十分でIDとパスワードが漏えいしてしまえば、残りのサービスも不正ログインされてしまう。それならば定期的な変更を強制せず、自社のサービス専用のパスワードを設定させるほうが、他のサービスのセキ
これだよね。
「どんなパスワード運用にするのがより良いか」というのは有益な議論なのだが。その議論の結果をもって「理想的な運用以外は無意味」みたいな極論に走るのはセキュリティを理解してない馬鹿のすることなんだが、自覚がないらしいから始末に負えない。
# もちろん「逆にセキュリティ的に脆弱性を作る」プラクティスは避けるべきだが「やらないよりはマシ」なものまで否定するのはおかしいってことで
なんか、結論が断定的なわりに、論拠がフワッとしてるんだよねえ。
「面倒だから」を正当化しようとして理屈こね過ぎなんだよな。結論ありきで中立の視点に立ててない。複数の切り口で分析して全ての点で定期的変更が劣っている結論を示している、なんて事があるわけないだろと自分で言ってて疑問を持たないのかってね。
定期的変更は本来行った方がより安全なのは間違いない。そのスパンは短ければ短い程安全。とすれば、3ヶ月に1回というのもそもそもが妥協の産物。宜しくない。ヘタな定期変更運用は無い方がマシ、とする論もあるが、そもそも単要素パスワード認証の安全性に不安があるため、定期変更運用というアイデアが生まれた事を間違ってはいけない。何の工夫も無い固定運用も無論安全ではない。
とすれば、他の認証方法を選ぶのが次の適切な一手であるはずだ。スマホなりPCなりRFIDなり何かしら使える道具はあるだろう。
特定の利用条件に限定してる上に、総当たり攻撃を想定した計算とか誰も議論対象にしてないだろ比較が論理崩壊してるし一般化できるような主張には見えないな
利用者のミスで知らぬ間に漏洩させてる可能性が無視できるほど優秀な利用者を暗に想定しているということかな5年でも10年でも同じパスワード使い続けてて絶対安心できるなら変えなければいいし、そこまでのセルフコントロールに自信が持てない自分なんかは定期的にパスワード変更してる
サービス提供側から見ても利用者により高い安全性を提供するために、パスワード強度だの定期変更だのといった防衛策を推奨するのは当たり前で陰謀論の出てくるような話じゃない
何でも良いけど、同じパスワードを入れようとすると、「同じパスワードはダメです!」的なメッセージ返ってくるし
おまえ、パスワード読めているじゃん!的に思うのは俺だけ?
それは君だけじゃないかな……
君だけやね
お前は不可逆に保持してるパスワードでどうやって認証してるのかを考えるべき
パンツに穴が空いたら引き出しに貯めておかないで捨てましょう
3か月ごとに変えないといけないうえ、直近10回のパスワードは使用不可やなぁ
社内セキュリティ部門のお偉いさんが変わった記念かなんかでパスワード変更しろって命令がきたこともあるな。パスワード漏れたんじゃないかとかとりあえずの実績作りかとかいろいろ言われたけどダンマリで理由は一切明かされなかったけど。
デフォルトのグループポリシー/ローカルセキュリティポリシーが変更することになっているから
(設定変更しろ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
定期的変更は無意味 (スコア:3, 興味深い)
例えば徳丸さんのところ [hatena.ne.jp]とか。
大谷さんは計算 [jnsa.org]もされています。
IDやパスワードを変える意義としては、
それらが漏えいし、なおかつサービス提供者がそれに気が付かないとか、黙っていたといった
リスクに対処するためくらいしか思いつかないのですが。
Re:定期的変更は無意味 (スコア:1)
・三ヶ月で必ず変えないといけない。
・直近のn回分のパスワードとかぶるのは利用不可。
・名前、生年月日、電話番号などが含まれる文字列は使用不可。
会社の人事勤労系と社内ITシステムとやらの複数のシステムで要求されるパスワードがコレ。
いい加減社内の認証系は一つにまとめてくれないかなと思うけど、各部署の壁があるのでそれはデキない相談らしい。
素晴らしき縦社会。
#3つめは流石に誰も使わない。はず。
Re: (スコア:0)
「11111111」「22222222」とかがループで回るケースが多い。
# サンプルはウチの職場。
Re: (スコア:0)
私が会社のパソコンに設定しているのは自分の名前ですね.考えるのがめんどくさい.
当然ドメインコントローラーなどで物理的に設定不可能な場合を除いてですが・・・.
当たり前ですが,家で設定しているパスワードはくっそ長いですし,英大小数字など入り組ませています^^
Re: (スコア:0)
これで英数字のみ8文字以内とか冗談抜きであったりするからね。
♯|\いれたらシステムエラーで大草原。
Re: (スコア:0)
三か月で必ず変えろということで、付箋使い始めました。
えー、だって忘れちゃうんだもん。
そういう、おいらは自称情報セキュリティアドミニストレータ保持者。
Re: (スコア:0)
つまり、ウェブサービスから「定期的にパスワードを変更してくださいまずは今すぐ」って言う通知が着たら、
こいつらやらかしたんだなぁしょうがねぇな、ということか。
やっぱり変えたほうがいいんじゃないか・・・。
Re:定期的変更は無意味 (スコア:1)
>つまり、ウェブサービスから「定期的にパスワードを変更してくださいまずは今すぐ」って言う通知が着たら、
>こいつらやらかしたんだなぁしょうがねぇな、ということか。
いや。まずは「フィッシングじゃないか?」って疑うべきだ。
Re: (スコア:0)
> それらが漏えいし、なおかつサービス提供者がそれに気が付かないとか、黙っていたといったリスク
を想定しないなら、対策しなくて良いわけです。
が・・・
昔使った今は使ってないサイトからの平文パスワード漏洩、を想定した対応として、同じパスワードを複数サイトで長期にわたって使うのを避ける意味はあるわけです。
程度問題ではありますが。
Re: (スコア:0)
パスワードが変更されない場合盗聴者には好都合なのですよね。
一度パスワードとIDを入手すれば済むので。
このブログを書いたのがそういうことをやってそうな部署ってのがいかにも…
Re: (スコア:0)
そのためのアクセス解析。
自分の覚えのない時間帯に、覚えのない所からのアクセス(ログイン)があったらやばいってこと。
定期的なパスワード変更より定期的なアクセス解析が重要かつ効果的。
Re: (スコア:0)
それができないサービスもあるのですよ。
理由がピンと来ない (スコア:0)
2番目のリンクで定期的変更が無意味な理由が3つ挙げられているが、どれもいまいちピンと来ない。
第一の理由は、ユーザが定期的なパスワード変更を確実に実施するとは限らないことである。まず、ユーザにパスワードの定期的変更を呼び掛けただけでは、パスワードを変更しない。パスワードに有効期間を設けて変更を強制するしくみを導入すれば、この問題は解決するが、パスワード忘れに対応するための問い合わせ窓口の開設や再発行のための安全なしくみの提供が必要になるだろう。
→Windowsを始め、たいていの最近のシステムには強制的にパスワードの有効期間を設ける仕組みが備わっているよね。
そのような仕組みがない場合の話をされても、反論になっているとは思えない。
むしろ、「サービスごとに別パスワードにする」ほうが、システム的な強制が困難じゃないの? それについてはコメントなし?
第二の理由は、ユーザが定期的にパスワードを変更したとしても、使ったことがあるパスワードを使い回したり、他のWebサイトと同じタイミングでパスワードを変更したりと、リスクが十分に軽減されないおそれである。どこかひとつの他のサービスのセキュリティ対策が不十分でIDとパスワードが漏えいしてしまえば、残りのサービスも不正ログインされてしまう。それならば定期的な変更を強制せず、自社のサービス専用のパスワードを設定させるほうが、他のサービスのセキ
Re: (スコア:0)
これだよね。
「どんなパスワード運用にするのがより良いか」というのは有益な議論なのだが。
その議論の結果をもって「理想的な運用以外は無意味」みたいな極論に走るのはセキュリティを理解してない馬鹿のすることなんだが、自覚がないらしいから始末に負えない。
# もちろん「逆にセキュリティ的に脆弱性を作る」プラクティスは避けるべきだが「やらないよりはマシ」なものまで否定するのはおかしいってことで
Re: (スコア:0)
なんか、結論が断定的なわりに、論拠がフワッとしてるんだよねえ。
Re: (スコア:0)
「面倒だから」を正当化しようとして理屈こね過ぎなんだよな。結論ありきで中立の視点に立ててない。
複数の切り口で分析して全ての点で定期的変更が劣っている結論を示している、なんて事があるわけないだろと自分で言ってて疑問を持たないのかってね。
定期的変更は本来行った方がより安全なのは間違いない。そのスパンは短ければ短い程安全。
とすれば、3ヶ月に1回というのもそもそもが妥協の産物。宜しくない。
ヘタな定期変更運用は無い方がマシ、とする論もあるが、そもそも単要素パスワード認証の安全性に不安があるため、
定期変更運用というアイデアが生まれた事を間違ってはいけない。何の工夫も無い固定運用も無論安全ではない。
とすれば、他の認証方法を選ぶのが次の適切な一手であるはずだ。
スマホなりPCなりRFIDなり何かしら使える道具はあるだろう。
Re: (スコア:0)
・糞めんどくさい運用を強制されたユーザはあらゆる方法でセキュリティを下げる努力を始める(付箋とかな)
この2点以外に何か理由いる?
Re: (スコア:0)
特定の利用条件に限定してる上に、総当たり攻撃を想定した計算とか誰も議論対象にしてないだろ
比較が論理崩壊してるし一般化できるような主張には見えないな
利用者のミスで知らぬ間に漏洩させてる可能性が無視できるほど優秀な利用者を暗に想定しているということかな
5年でも10年でも同じパスワード使い続けてて絶対安心できるなら変えなければいいし、そこまでのセルフコントロールに自信が持てない自分なんかは定期的にパスワード変更してる
サービス提供側から見ても利用者により高い安全性を提供するために、パスワード強度だの定期変更だのといった防衛策を推奨するのは当たり前で陰謀論の出てくるような話じゃない
不可逆的に保持しろよ! (スコア:0)
何でも良いけど、同じパスワードを入れようとすると、
「同じパスワードはダメです!」的なメッセージ返ってくるし
おまえ、パスワード読めているじゃん!的に思うのは
俺だけ?
Re: (スコア:0)
それは君だけじゃないかな……
Re: (スコア:0)
君だけやね
Re: (スコア:0)
お前は不可逆に保持してるパスワードでどうやって認証してるのかを考えるべき
Re: (スコア:0)
パンツに穴が空いたら引き出しに貯めておかないで捨てましょう
Re: (スコア:0)
3か月ごとに変えないといけないうえ、直近10回のパスワードは使用不可やなぁ
社内セキュリティ部門のお偉いさんが変わった記念かなんかでパスワード変更しろって命令がきたこともあるな。
パスワード漏れたんじゃないかとかとりあえずの実績作りかとかいろいろ言われたけどダンマリで理由は一切明かされなかったけど。
Re: (スコア:0)
デフォルトのグループポリシー/ローカルセキュリティポリシーが変更することになっているから
(設定変更しろ