アカウント名:
パスワード:
まさに、有効に機能したであろう事例が発生したわけだが、不要と言ってた人の意見が聞きたいな。
サービサーが4年後(!)に公表するまでの期間、利用者はずっとリスクにさらされていたわけだが、不要論者にとって、このリスクは許容可能なのかね。
X秒毎定期変更論者『利用者がX+1秒後(!)に変更するまでの期間、利用者はずっとリスクにさらされていたわけだが、X+1秒毎定期変更論者にとって、このリスクは許容可能なのかね。』帰納により0秒毎定期変更以外は4年毎定期変更も1000年毎定期変更も危険である。
というのは冗談として、これはリスクだけを見た相対的比較ではなくコスト対リスクの問題。ゼロか否かというだけなら定期的変更も漏洩発覚時の変更もどちらも効果はゼロではない。コストを含めた定量的比較が難しいから議論している。また確率的な事象に対して事例が一つある、なんて主張するのは、当り番号がわかってからあの時くじに投票しておけば、と同じで意味が無い。
ところで定期変更の強制はパスワードの使い回しや脆弱化を助長しかねない。そのコストを必要論者はどのように許容しているのかな?
不要なのは強制的な定期変更です。強制することでパスワードを忘れたり、メモをソーシャルハックされたり、単純なものにしてしまうリスクが高まるためです。自分で覚えられてなおかつ強力なものに変えるのなら何も問題はありません。ただ、定期変更しなくても流出を素直に発表するような信用できる企業なら十分問題ないと言えるでしょう。その後にすぐ変更すればいいからです。今回の問題はDropboxが信用できない企業だったということです。#他のところが流出しているのに何もなかったのは変だなとは思っていた
パスワードの定期変更って、常に未知のセキュリティリスクに晒されてる場合には有効なのでは?未知じゃなくてもシステム側の能力不足で対処できないとか。
リスクが明るみになってからパスワード変更するのは随時変更って言うんじゃない?今回のDropboxの対応はこっちでしょ。定期変更が不要って言ってる人でも、随時変更まで不要と言ってる人はいないんじゃない?
別に漏洩以後の話に限定しないでも。定期変更の頻度にも寄るが、SHA1とbcryptの混在の後に漏洩した訳だから、最も変更頻度が高い人はbcryptの後に漏洩して更に変更してUser-Passの使えないセットが1個。頻度が低い又は変更しない人はSHA1が漏洩してSHA1がマッチするPassがずっと危険だった訳で。
それは該当するユーザーのパスワードを変更しなければ使えないようにすべきだったってことですか?それは定期変更とは話が違うような?全ユーザーに対して定期変更を要求しなくても、個別に対応すればよかったという形で。いや、今回の問題を考える上では鋭い指摘だと思いますけど。
半年に1回パスワードを変更していれば、リスクにさらされていた期間が半年以内で済んだでしょ。
ええ…。
6800万人のアカウントを悪用するとして、半年間の間にすべて不正アクセスして、利用することができるの?リストを闇市場で売買するとしても、半年間で無効になるとしたら、市場価値は激減するわけだけど。
映画みたいな天才クラッカーが個人で全てやっていると思ってないか?悪用スキームまで準備万端整えた上で、パスワードを流出させましたってか?
確か、数年前に流出したパスワードリストがクラックに使われたってニュースが、すらどでもストーリーになってたはず。
>半年間の間にすべて不正アクセスして、利用することができるの?全部クロールできるでしょ。別に一台のPCから行う必要はない1万台のゾンビがあれば6800台の面倒をみればいいだけだから十分現実的な数字だと思う作ってみただけアカウントも多いだろうからなおさら
追伸:今回の件において、定期変更は無意味とは思わないけどそれほど効かないんじゃないかな、というだけの主張ですDropboxの対応はどーにもお粗末だったことについてはまったく異議ありません信頼はせずとも信用はしてたのにとほほ
たとえば半年ごとにパスワード変更していたら、情報流出が半年間だけで済んだのでは?のこり3年半はダダモレでもどうでもいいという主張でしょうか?
情報流出が半年間だけで済んだ、ねぇ
そういうのは定期変更したとしても完全じゃないから、google様がやっているようにアクティビティを監視するべきなのでは。そこまででなくても前回のログイン日時とか表示されるだけでも助かる。
本気で悪用するなら盗んですぐ悪用するだろうから、数十日ごとに変更しても大して意味ないんじゃないの
つhttps://blog.kaspersky.co.jp/dropbox-hack/12403/ [kaspersky.co.jp]
定期変更不要論者は息してないのかな。どこいったんだろう。ぱよくに通じるものがあるな。
TKD教授おっすおっす
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
パスワードの定期的変更 (スコア:1)
まさに、有効に機能したであろう事例が発生したわけだが、不要と言ってた人の意見が聞きたいな。
サービサーが4年後(!)に公表するまでの期間、利用者はずっとリスクにさらされていたわけだが、
不要論者にとって、このリスクは許容可能なのかね。
Re:パスワードの定期的変更 (スコア:2)
X秒毎定期変更論者『利用者がX+1秒後(!)に変更するまでの期間、利用者はずっとリスクにさらされていたわけだが、X+1秒毎定期変更論者にとって、このリスクは許容可能なのかね。』
帰納により0秒毎定期変更以外は4年毎定期変更も1000年毎定期変更も危険である。
というのは冗談として、これはリスクだけを見た相対的比較ではなくコスト対リスクの問題。ゼロか否かというだけなら定期的変更も漏洩発覚時の変更もどちらも効果はゼロではない。コストを含めた定量的比較が難しいから議論している。
また確率的な事象に対して事例が一つある、なんて主張するのは、当り番号がわかってからあの時くじに投票しておけば、と同じで意味が無い。
ところで定期変更の強制はパスワードの使い回しや脆弱化を助長しかねない。そのコストを必要論者はどのように許容しているのかな?
Re:パスワードの定期的変更 (スコア:2)
不要なのは強制的な定期変更です。
強制することでパスワードを忘れたり、メモをソーシャルハックされたり、単純なものにしてしまうリスクが高まるためです。
自分で覚えられてなおかつ強力なものに変えるのなら何も問題はありません。
ただ、定期変更しなくても流出を素直に発表するような信用できる企業なら十分問題ないと言えるでしょう。
その後にすぐ変更すればいいからです。
今回の問題はDropboxが信用できない企業だったということです。
#他のところが流出しているのに何もなかったのは変だなとは思っていた
Re: (スコア:0)
パスワードの定期変更って、常に未知のセキュリティリスクに晒されてる場合には有効なのでは?未知じゃなくてもシステム側の能力不足で対処できないとか。
リスクが明るみになってからパスワード変更するのは随時変更って言うんじゃない?今回のDropboxの対応はこっちでしょ。
定期変更が不要って言ってる人でも、随時変更まで不要と言ってる人はいないんじゃない?
Re: (スコア:0)
別に漏洩以後の話に限定しないでも。
定期変更の頻度にも寄るが、
SHA1とbcryptの混在の後に漏洩した訳だから、
最も変更頻度が高い人はbcryptの後に漏洩して更に変更してUser-Passの使えないセットが1個。
頻度が低い又は変更しない人はSHA1が漏洩してSHA1がマッチするPassがずっと危険だった訳で。
Re: (スコア:0)
それは該当するユーザーのパスワードを変更しなければ使えないようにすべきだったってことですか?
それは定期変更とは話が違うような?全ユーザーに対して定期変更を要求しなくても、個別に対応すればよかったという形で。
いや、今回の問題を考える上では鋭い指摘だと思いますけど。
Re: (スコア:0)
半年に1回パスワードを変更していれば、リスクにさらされていた期間が半年以内で済んだでしょ。
Re:パスワードの定期的変更 (スコア:1)
Re:パスワードの定期的変更 (スコア:1)
ええ…。
6800万人のアカウントを悪用するとして、半年間の間にすべて不正アクセスして、利用することができるの?
リストを闇市場で売買するとしても、半年間で無効になるとしたら、市場価値は激減するわけだけど。
映画みたいな天才クラッカーが個人で全てやっていると思ってないか?
悪用スキームまで準備万端整えた上で、パスワードを流出させましたってか?
確か、数年前に流出したパスワードリストがクラックに使われたってニュースが、すらどでもストーリーになってたはず。
Re:パスワードの定期的変更 (スコア:1)
>半年間の間にすべて不正アクセスして、利用することができるの?
全部クロールできるでしょ。別に一台のPCから行う必要はない
1万台のゾンビがあれば6800台の面倒をみればいいだけだから十分現実的な数字だと思う
作ってみただけアカウントも多いだろうからなおさら
Re:パスワードの定期的変更 (スコア:1)
追伸:
今回の件において、定期変更は無意味とは思わないけどそれほど効かないんじゃないかな、というだけの主張です
Dropboxの対応はどーにもお粗末だったことについてはまったく異議ありません
信頼はせずとも信用はしてたのにとほほ
Re: (スコア:0)
たとえば半年ごとにパスワード変更していたら、情報流出が半年間だけで済んだのでは?
のこり3年半はダダモレでもどうでもいいという主張でしょうか?
Re: (スコア:0)
情報流出が半年間だけで済んだ、ねぇ
Re: (スコア:0)
そういうのは定期変更したとしても完全じゃないから、
google様がやっているようにアクティビティを監視するべきなのでは。
そこまででなくても前回のログイン日時とか表示されるだけでも助かる。
Re: (スコア:0)
本気で悪用するなら盗んですぐ悪用するだろうから、数十日ごとに変更しても大して意味ないんじゃないの
Re: (スコア:0)
つ
https://blog.kaspersky.co.jp/dropbox-hack/12403/ [kaspersky.co.jp]
定期変更不要論者は息してないのかな。
どこいったんだろう。
ぱよくに通じるものがあるな。
Re: (スコア:0)
TKD教授おっすおっす