パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NISTの「パスワードには記号や数字を加え定期的に変更する」ルール策定者、間違っていたと後悔」記事へのコメント

  • よくある勘違い (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2017年08月10日 17時23分 (#3259520)

    無意味(というか有害)なのは、「定期的なパスワード変更を(システム側で)強制すること」です。

    • by Anonymous Coward on 2017年08月10日 17時31分 (#3259529)

      うちのシステムがそれだ。
      三ヶ月に一回変更しないとログインできなくなる。
      パスワードに単語らしきものが入っていると弾かれる。
      変更履歴を持っていて一度使ったパスワードは二度と使えない。
      パスワードを忘れた場合の再設定は書類を書いて対面認証。

      そりゃ、ポストイットに書いてディスプレイに貼り付けが横行するわ。

      親コメント
      • by Anonymous Coward

        >マイクロソフト のコーマック・ハーリー主任研究員は、人類が1日にパスワード入力に費やす時間が計1300年相当を超えていると話す。

        日本の貢献度は高いと思う

        • 弊社の場合 (スコア:3, 興味深い)

          by Anonymous Coward on 2017年08月10日 20時02分 (#3259638)

          確かに高そうだ。毎日数十回もパスワードを入力させられてる弊社だけでも、会社全体では一日あたりで延べ40日分パスワード入力に時間を費やしてるって試算があった。
          ちなみにこれはセキュリティ委員会で「いくらなんでも無駄すぎないか」という主張の補強に使われたのだが、「セキュリティは全てに優先する」ということで流されてた。
          ・・・ところで、同じパスワードを毎日数十回も打ち込むのって、それはそれでセキュリティリスクないのかなあ?

          親コメント
          • by Anonymous Coward

            全てに優先するわりに効果の定量的な測定とかする気もなさそうなあたりがいかにもジャパニーズ

            > ・・・ところで、同じパスワードを毎日数十回も打ち込むのって、それはそれでセキュリティリスクないのかなあ?

            キーロガーとかしかけられたら脆弱極まりないね

            • by osdn (47242) on 2017年08月11日 8時38分 (#3259876)

              ロガーなしでも、
              数字をあまり入力しない業務なのに一部の数字キートップだけ擦り減っていたりすると危険かも。

              親コメント
              • by Anonymous Coward

                キートップを綺麗に掃除します。
                誰かがパスワードを入力します。
                指紋のあるキーを記録します。

                入力時の動作の観察と組み合わせて、特定します。

                みたいな。

              • by osdn (47242) on 2017年08月12日 7時32分 (#3260303)

                なるほど俺の彼女がキーボードまで掃除してくれる理由……

                親コメント
      • by Anonymous Coward

        うちはさらにパスワードの長さが16文字まで、変更画面では平文でパスワード表示だ

      • by Anonymous Coward

        そしてcapslockやnumlock(ノート)に気づかずロックさせるとw

    • by nullnull (41989) on 2017年08月12日 5時47分 (#3260296) 日記
      強烈に不治痛がこれだ。しかも、シングルサインオンなインフラを導入するコストを掛けたはずなのに、未対応なシステムが続々と現れて、もうドブに金を捨て続ける感じ。
      --
      へなちょこ
      親コメント
    • by Anonymous Coward

      そう無意味でもない。
      定期的なパスワード変更の実施を聞けば会社のセキュリティレベルを知ることができる。
      もちろんやっていればアウト。

      • by Anonymous Coward

        知らないで古い常識で運用しているか、複数人で共有されるパスワードの利用が多いかのどちらかですからね。

        Wi-FiのステルスSSIDでセキュリティレベルが上がるという幻想も同じですが、いい加減廃れてほしい。

    • by Anonymous Coward

      パスワードが漏れたのに気付かない場合とかどうするんだろ。

      • by 90 (35300) on 2017年08月11日 23時08分 (#3260223) 日記

        漏れてから気付くまでの期間が3ヶ月なり平均して1.5ヶ月なりより長ければ意味がありますけど、45日も入られ放題が続いた後で変更しても意味がないんじゃないでしょうか。

        親コメント
        • by Anonymous Coward

          意味がないってのがよくわかりません。
          何か必要があるまで、情報を盗んだり、改変したりしないんじゃないでしょうか。

          入られ放題のシステムは、放置でいいと?

          • by Anonymous Coward

            wifiの暗号キーも、数十分とかの間隔で、自動的に更新されますが、アレも無意味なんでしょうか?
            違いがよくわからない。

            • by 90 (35300) on 2017年08月13日 10時18分 (#3260553) 日記

              破るのに数時間かかる鍵があるとして、数十分間隔で変わるのと数か月間隔で変わるのだったら、後者に意味はありますか?
              数か月のうち(数か月-数時間)の間は侵入不能なのだからそれでよい、と言えますか?

              親コメント

最初のバージョンは常に打ち捨てられる。

処理中...