アカウント名:
パスワード:
ジェネレートしやすいだけでは、並の人間には使いにくいのです。残念ながら。ですので、覚えやすくするか、覚えなくても済むようにする対策が候補になります。
頻繁に覚えにくいパスワードを変更してユーザの負担を増やすよりは。不定長なパスフレーズにする方が利便性とセキュリティ強度は良んじゃないかという話は以前から良く見かけますね
「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ http://internet.watch.impress.co.jp/docs/yajiuma/1007177.html [impress.co.jp]
実は危ない、パスワードの定期変更 http://www.nikkei.com/article/DGXMZO05876050Z00C16A8000000/ [nikkei.com]
パスワードを定期的に変更さ
パスワードの定期変更が駄目なのはユーザーが馬鹿だからであって、定期変更自体が駄目なわけではないのに誤解している人多いよね。
パスワードジェネレーターやパスワード管理ツールが当たり前になれば、パスワード流出時の対応訓練として定期変更が推奨されるようになるかもしれない。
バカがいなければ万全な対策って、つまり無理ってことですよね
>パスワードの定期変更が駄目なのはユーザーが馬鹿だからであって、>定期変更自体が駄目なわけではないのに誤解している人多いよね。
いや、駄目なの。なぜなら意味がないことに労力を費やしているから、結局マイナスになる。
なぜ破られてもいないパスワードを変更する必要があるのか。ブルートフォースアタックを気にするのなら、パスワードを変更することでアタック中の文字列付近に変えてしまう可能性をなぜ無視するのか。#変えてしまうことでパスワードの判明を早くしてしまう可能性それが考えにくいというのなら、同じパスワード強度なら元のままでも十分安全といえる。
充分な強度のパスワードを設定したら、アクセス監視で本人以外のログインを速やかに察知できる体制にするのが現状の正しいやり方。定期的なパスワード変更を「アクセス監視はできないけど定期的に変えてるからそれなりに大丈夫」という言い訳にしてしまうなら、それはさらに悪質になってしまう。
なぜ破られてもいないパスワードを変更する必要がある
>パスワード流出時の対応訓練として定期変更が推奨される
パスワードを変更することでアタック中の文字列付近に変えてしまう可能性
アタック済みの文字列に変更できた可能性とどちらが高いんですか?
> アタック済みの文字列に変更できた可能性とどちらが高いんですか?
先コメで
> それが考えにくいというのなら、同じパスワード強度なら元のままでも十分安全といえる。
ここまで書いてもらっていてわからないのなら、口出さない方がいいんじゃないかなぁ
>>パスワード流出時の対応訓練として定期変更が推奨される元記事に書かれていたのかな? 要ログイン部分なのか見当たらなかった。とりあえず何を根拠に「対応訓練として定期変更が推奨される」なのかさっぱりわからん。その理由も元記事に書いているなら引用よろしく。
#社内システムにつながったクライアントPCに不正ログインされたら、#まず変なウィルスとか仕込まれてないか疑ってネットワークから切り離したうえで#端末使用不可にするはずだが。#サーバーへのログインなら、パスワード変更とか悠長なことする前にアカウントロックだろう。#アカウント上で何が行われ
>パスワード流出時の対応訓練として定期変更が推奨されるようになるかもしれない。は(#3218599)の4行目か。ごめんなさい見逃してた。
で、訓練でも意味は無いなぁという理由は書いた通り。侵入された時の対処として、ユーザーが操作する出番はほとんどないから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
覚えられないから (スコア:1)
ジェネレートしやすいだけでは、並の人間には使いにくいのです。残念ながら。
ですので、覚えやすくするか、覚えなくても済むようにする対策が候補になります。
Re: (スコア:1)
頻繁に覚えにくいパスワードを変更してユーザの負担を増やすよりは。
不定長なパスフレーズにする方が利便性とセキュリティ強度は良んじゃないかという話は以前から良く見かけますね
「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ
http://internet.watch.impress.co.jp/docs/yajiuma/1007177.html [impress.co.jp]
実は危ない、パスワードの定期変更
http://www.nikkei.com/article/DGXMZO05876050Z00C16A8000000/ [nikkei.com]
パスワードを定期的に変更さ
Re: (スコア:0)
パスワードの定期変更が駄目なのはユーザーが馬鹿だからであって、
定期変更自体が駄目なわけではないのに誤解している人多いよね。
パスワードジェネレーターやパスワード管理ツールが当たり前になれば、
パスワード流出時の対応訓練として定期変更が推奨されるようになるかもしれない。
Re: (スコア:0)
バカがいなければ万全な対策って、つまり無理ってことですよね
Re:覚えられないから (スコア:1)
>パスワードの定期変更が駄目なのはユーザーが馬鹿だからであって、
>定期変更自体が駄目なわけではないのに誤解している人多いよね。
いや、駄目なの。
なぜなら意味がないことに労力を費やしているから、結局マイナスになる。
なぜ破られてもいないパスワードを変更する必要があるのか。
ブルートフォースアタックを気にするのなら、パスワードを変更することでアタック中の文字列付近に変えてしまう可能性をなぜ無視するのか。
#変えてしまうことでパスワードの判明を早くしてしまう可能性
それが考えにくいというのなら、同じパスワード強度なら元のままでも十分安全といえる。
充分な強度のパスワードを設定したら、アクセス監視で本人以外のログインを速やかに察知できる体制にするのが現状の正しいやり方。
定期的なパスワード変更を「アクセス監視はできないけど定期的に変えてるからそれなりに大丈夫」という言い訳にしてしまうなら、それはさらに悪質になってしまう。
Re: (スコア:0)
なぜ破られてもいないパスワードを変更する必要がある
>パスワード流出時の対応訓練として定期変更が推奨される
パスワードを変更することでアタック中の文字列付近に変えてしまう可能性
アタック済みの文字列に変更できた可能性とどちらが高いんですか?
Re: (スコア:0)
> アタック済みの文字列に変更できた可能性とどちらが高いんですか?
先コメで
> それが考えにくいというのなら、同じパスワード強度なら元のままでも十分安全といえる。
ここまで書いてもらっていてわからないのなら、口出さない方がいいんじゃないかなぁ
Re: (スコア:0)
>>パスワード流出時の対応訓練として定期変更が推奨される
元記事に書かれていたのかな? 要ログイン部分なのか見当たらなかった。
とりあえず何を根拠に「対応訓練として定期変更が推奨される」なのかさっぱりわからん。
その理由も元記事に書いているなら引用よろしく。
#社内システムにつながったクライアントPCに不正ログインされたら、
#まず変なウィルスとか仕込まれてないか疑ってネットワークから切り離したうえで
#端末使用不可にするはずだが。
#サーバーへのログインなら、パスワード変更とか悠長なことする前にアカウントロックだろう。
#アカウント上で何が行われ
Re: (スコア:0)
>パスワード流出時の対応訓練として定期変更が推奨されるようになるかもしれない。
は(#3218599)の4行目か。
ごめんなさい見逃してた。
で、訓練でも意味は無いなぁという理由は書いた通り。
侵入された時の対処として、ユーザーが操作する出番はほとんどないから。