アカウント名:
パスワード:
なぜ定期的にパスワードを変更することが無意味なのでしょう?
定期的にパスワードを変更することが無意味なことは昨今では頻繁に説明されており、セキュリティについて学んでいる人であれば意味が無く利用者に不便を強いるだけのルールであることはもはや常識だろう。
ここでは頻繁に説明されているから学んでいる人の常識だからと書かれています。
マジレスすると、めんどくさいルールを押し付けるとユーザーがパスワードを使いまわしたり、ポストイットで貼り付ける事をするから
それは従来から既知じゃね? なぜ突然それを言い出したの?
実務家の中の常識なんだよ。ただ定式化されていないから、サービス設計には織り込みづらい。例えば「破られる確率変数Xと利用性指標Yを元に計算すると、何桁前後で流出可能性Zが最小となります」とか「人間の暗記可能情報量は何bitですから、余裕を持って20桁にしましょう」というような御説明ができない。だから「桁数を無限に増やせば無限に強度が上がるはずだが、私が覚えられる上限の12桁にしよう」とか「数字や記号を使うと空間が広がるから、使わせるようにしよう」といった雰囲気でルールが作られてる。
でも実際に事例を研究したり理論を考えたりするセキュリティ業界人は、煩雑な定期変更が原因で流出したり記号を含んだ短いパスワードが破られたりすることを実例から知っているから、まだ理論は固まってないけどやめろと言い続けてる。まともにクラックに対抗できるパスワードは一人当たり精々数個しか覚えられないから、パスワードはトークンのロック解除用だけに使って、後は証明書などで認証すべきというのが今の流れ。OAuthが流行ったのもそれ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
定期的にパスワードを変更することが無意味なことは昨今では頻繁に説明されており (スコア:0)
なぜ定期的にパスワードを変更することが無意味なのでしょう?
定期的にパスワードを変更することが無意味なことは昨今では頻繁に説明されており、セキュリティについて学んでいる人であれば意味が無く利用者に不便を強いるだけのルールであることはもはや常識だろう。
ここでは
頻繁に説明されているから
学んでいる人の常識だから
と書かれています。
Re: (スコア:0)
マジレスすると、めんどくさいルールを押し付けるとユーザーがパスワードを使いまわしたり、ポストイットで貼り付ける事をするから
Re: (スコア:0)
それは従来から既知じゃね? なぜ突然それを言い出したの?
Re:定期的にパスワードを変更することが無意味なことは昨今では頻繁に説明されており (スコア:0)
実務家の中の常識なんだよ。ただ定式化されていないから、サービス設計には織り込みづらい。
例えば「破られる確率変数Xと利用性指標Yを元に計算すると、何桁前後で流出可能性Zが最小となります」とか「人間の暗記可能情報量は何bitですから、余裕を持って20桁にしましょう」というような御説明ができない。
だから「桁数を無限に増やせば無限に強度が上がるはずだが、私が覚えられる上限の12桁にしよう」とか「数字や記号を使うと空間が広がるから、使わせるようにしよう」といった雰囲気でルールが作られてる。
でも実際に事例を研究したり理論を考えたりするセキュリティ業界人は、煩雑な定期変更が原因で流出したり記号を含んだ短いパスワードが破られたりすることを実例から知っているから、
まだ理論は固まってないけどやめろと言い続けてる。まともにクラックに対抗できるパスワードは一人当たり精々数個しか覚えられないから、パスワードはトークンのロック解除用だけに使って、後は証明書などで
認証すべきというのが今の流れ。OAuthが流行ったのもそれ。