アカウント名:
パスワード:
定期的に変更するべきじゃない場合と定期的に変更する必要がある場合とがあるので必ずしなくなるとそれはそれで困るかも。
十分な強さのパスワードなら、定期的な変更は不要なんですよ。
パスワードの定期的な変更を求められるシステムについては、「規則性のあるパスワード」を「付箋でモニタに貼っています。」性分として、使いまわしはしていませんが、貼る人の気持ちを満喫しています。
"十分な強さのパスワード"で"定期的に変更を求められる"システムとかあります。態々セキュリティリスク増やして何がしたいんだ。
元々セキュリティに問題があって頻繁に漏れてるから、ユーザに対応してもらうってことでは。
「十分な強さのパスワード」なら「十分」なんだから定期的な変更は要らないんじゃないかな、自己定義的だけど。「十分な強さのパスワード」を使えないので「定期的に変更すべき」システムはあるかもしれないが
「十分な強さのパスワード」を使っているのに定期更新を求めてくる糞システムがあるって話ではないかな。
「十分な強さのパスワード」ってスカウターがボンって破裂するくらい?
自己定義的だけど。
事故定義的ですね。
十分な強さの定義が、時代どころか年々変わる世界で、人間が思いつくレベルが本当に十分な強さであるのかが気になるところ
人間に入力させるシステムを使っている間は、人間に思いつくレベルを許容してくれないと困る。それがダメだっていうなら、システムを作り変えてくれ。
きっと、10分で破られる強さのパスワードなんですよ。
>パスワードの定期的な変更を求められるシステムについては、「規則性のあるパスワード」を「付箋でモニタに貼っています。」
Quota毎にパスワード変更をしなければいけない ∧ 前n回のパスワードと同じではいけない∧ 英数記号を必ず含む。という縛りの場合。YYYY(年)[干支]-q[1-4]例)2018inu-1#更にひねらないとバレやすそう
「定期的に変更するべきじゃない」が常識だってそれだけの知識でいると危険ですよ。
例えばパスワードを複数人で共有するようなシステムでは定期的に変更する必要があります。
他にも、管理者している人間(グループ)が定期的に(入れ)変わるシステムで管理者IDが固定のシステムとかだと、定期的にパスワードを変更しないと危険ですよね
sudo使わず運用しているLinuxとか、Administratorのみが管理者のWindowsとかパスワード運用まで考えられていないアプライアンスとか
あとは、漏洩が疑われるサービスとか、脆弱であることがわかっているのに使わなきゃいけないサービスとかかなぁ・・・
Correct Horse Battery Staple 問題だな定期変更はオフライン辞書攻撃対策だから辞書攻撃のリスクを論じないといくら短く設定しても無駄だとか英数大小記号を混ぜた複雑なパスワードを使っても総当たりの実行時間は桁数乗に比例するから精々数桁増やした英字より弱くなるとか理論を学んでいない素人セキュリティ管理者にありがちな無知があるな
それは(本質的には不定期に発生する)パスワードを変えるべきイベントが定期的に起きているだけで、定期的にパスワードを変更しているのではないのでは
定期的にパスワードを変更するべきではないルールのなかにそれでも定期的にパスワードを変更するべきルールがあります。
定期的にパスワードを変更するべきではないといいはじめた途端に定期的にパスワードを変更するべきではないばかり言う人がいるがそれは違うのです。
まさか臨時で人が出入りした場合でも更新期日じゃないからという理由で旧パスワードを使い続けるわけじゃないんでしょ
それは逆説です。
ええと、なんかめんどくさそうな人に絡まれちゃったな・・・
> それは(本質的には不定期に発生する)パスワードを変えるべきイベントが定期的に起きてい> るだけで、定期的にパスワードを変更しているのではないのでは
これは、そのとおりですね退職や異動をすぐに把握できる立場にあればですが・・・
それと、周期を短くする必要はなくて長さを伸ばしていけばいいだけでしょw”定期的に”って言ってるのに何いってんの?
えっ、セキュアにすべき環境にアクセスできる人が誰なのか把握できてないってことか!?なんかもう色々前提からダメじゃん。
残念ながらめんどくさいことを解決するまで話し続けるのはスラドなのでめんどくさい人に絡まれて嫌な人は最初からスラドに書きこまないでください。
アクセスできる人はパスワード知っている人のみですよ?誰なのかはアクセス端末からわかりますね。
ACごときが勝手に定義してんなよwww
えっ、誰なのかは把握してるよ。
でも、お客さんとか人事異動ですーって連絡くれないよね・・・特に退職東南アジアの人たちも相当いい加減で連絡くれたことないなー
うん?ある程度共有して運用せざるを得ないことを想定しているんだけど末尾に数字つけてOKになるわけねーだろ馬鹿じゃねーの?
定期的にパスワードを変更しているのではないのでは
いや定期的に変えてパスワード知りたい人は申請して共有を得るのです。短いほど意味があって1週間とか毎日とかあります。
某金融関係のシステムは2時間毎に申請が必要でした。
そこまでしてなぜに共有?個別にID発行すりゃいいじゃん。そもそもパスワード自体に意味はない。利用しようとするIDが正当な利用者によるか否かを判別するために存在するもの。本末転倒というかなんというか。
個別にID発行すりゃいいじゃん。
パスワードが時制ならば個別にIDを発行する必要なくなりますね。
そもそもパスワード自体に意味はない。
パスワードとは紐付くアカウントのアクセスを許可するためにあります。
利用しようとするIDが正当な利用者によるか否かを判別するために存在するもの。
利用するIDの利用者が正当な利用者かを判別するためにリアル利用者からの申請のたびにパスワードを随時発行しても同じことだと思いますよ。
てか過去のIDの付けられたパスワードよりもIDに現在の利用者のパスワードをつけたほうが正当な利用者によって利用されていることを証明できるでしょう。
> てか過去のIDの付けられたパスワードよりも> IDに現在の利用者のパスワードをつけたほうが正当な利用者によって利用されていることを証明できるでしょう
その時に利用を許可するということからすれば、メールとか他のアプリとかで十分ということですね。今まで読んだ中で最もしっくりくる記述でした。
ワンタイムパスワードの意義もわかりました。ありがとうございます>匿名のどなたか
そうなると、やっぱり指紋や虹彩などを使うのは危険な気がしますが、横行(っていうのが適当かわかりませんが)してますね。
そんな事よりも、共有パスワードをさっさと廃止しろ。残すにしても、退職とかの移動があったら、さっさと変更しろ。
そんなレベルの職場だったりする。
そんなレベルの職場だったらなんだろ?本質を忘れて人を叩きたいだけになってますね。
パスワード認証をやめて証明書認証に変えよう
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
必要はないっていうとしなくなる? (スコア:2)
定期的に変更するべきじゃない場合と
定期的に変更する必要がある場合とがあるので必ずしなくなるとそれはそれで困るかも。
Re: (スコア:0)
十分な強さのパスワードなら、定期的な変更は不要なんですよ。
パスワードの定期的な変更を求められるシステムについては、「規則性のあるパスワード」を「付箋でモニタに貼っています。」
性分として、使いまわしはしていませんが、貼る人の気持ちを満喫しています。
Re:必要はないっていうとしなくなる? (スコア:1)
"十分な強さのパスワード"で"定期的に変更を求められる"システムとかあります。
態々セキュリティリスク増やして何がしたいんだ。
Re:必要はないっていうとしなくなる? (スコア:1)
元々セキュリティに問題があって頻繁に漏れてるから、ユーザに対応してもらうってことでは。
Re:必要はないっていうとしなくなる? (スコア:1)
「十分な強さのパスワード」なら「十分」なんだから定期的な変更は要らないんじゃないかな、自己定義的だけど。
「十分な強さのパスワード」を使えないので「定期的に変更すべき」システムはあるかもしれないが
Re: (スコア:0)
「十分な強さのパスワード」を使っているのに定期更新を求めてくる糞システムがあるって話ではないかな。
Re:必要はないっていうとしなくなる? (スコア:1)
「十分な強さのパスワード」ってスカウターがボンって破裂するくらい?
Re: (スコア:0)
自己定義的だけど。
事故定義的ですね。
Re: (スコア:0)
十分な強さの定義が、時代どころか年々変わる世界で、
人間が思いつくレベルが本当に十分な強さであるのかが気になるところ
Re: (スコア:0)
人間に入力させるシステムを使っている間は、人間に思いつくレベルを許容してくれないと困る。
それがダメだっていうなら、システムを作り変えてくれ。
Re: (スコア:0)
きっと、10分で破られる強さのパスワードなんですよ。
Re:必要はないっていうとしなくなる? (スコア:1)
>パスワードの定期的な変更を求められるシステムについては、「規則性のあるパスワード」を「付箋でモニタに貼っています。」
Quota毎にパスワード変更をしなければいけない ∧ 前n回のパスワードと同じではいけない
∧ 英数記号を必ず含む。という縛りの場合。
YYYY(年)[干支]-q[1-4]
例)2018inu-1
#更にひねらないとバレやすそう
Re: (スコア:0)
十分な強さのパスワードなら、定期的な変更は不要なんですよ。
「定期的に変更するべきじゃない」が常識だってそれだけの知識でいると危険ですよ。
例えばパスワードを複数人で共有するようなシステムでは定期的に変更する必要があります。
Re: (スコア:0)
他にも、管理者している人間(グループ)が定期的に(入れ)変わるシステムで
管理者IDが固定のシステムとかだと、定期的にパスワードを変更しないと危険ですよね
sudo使わず運用しているLinuxとか、Administratorのみが管理者のWindowsとか
パスワード運用まで考えられていないアプライアンスとか
あとは、漏洩が疑われるサービスとか、脆弱であることがわかっているのに
使わなきゃいけないサービスとかかなぁ・・・
Re:必要はないっていうとしなくなる? (スコア:2, 興味深い)
まさか臨時で人が出入りした場合でも更新期日じゃないからという理由で旧パスワードを使い続けるわけじゃないんでしょ
あと、漏洩が疑われるのをパスワードの定期更新で対処しようとするならば、攻撃側の使用できるCPUなどのリソースは年々増加していくので、更新周期は逆に年々短くしていかなきゃならないわけですが、ちゃんとできてますか?
Re: (スコア:0)
Correct Horse Battery Staple 問題だな
定期変更はオフライン辞書攻撃対策だから辞書攻撃のリスクを論じないといくら短く設定しても無駄だとか
英数大小記号を混ぜた複雑なパスワードを使っても総当たりの実行時間は桁数乗に比例するから精々数桁増やした英字より弱くなるとか
理論を学んでいない素人セキュリティ管理者にありがちな無知があるな
Re: (スコア:0)
それは(本質的には不定期に発生する)パスワードを変えるべきイベントが定期的に起きているだけで、定期的にパスワードを変更しているのではないのでは
定期的にパスワードを変更するべきではないルールのなかに
それでも定期的にパスワードを変更するべきルールがあります。
定期的にパスワードを変更するべきではないといいはじめた途端に
定期的にパスワードを変更するべきではないばかり言う人がいるがそれは違うのです。
まさか臨時で人が出入りした場合でも更新期日じゃないからという理由で旧パスワードを使い続けるわけじゃないんでしょ
それは逆説です。
Re: (スコア:0)
ええと、なんかめんどくさそうな人に絡まれちゃったな・・・
> それは(本質的には不定期に発生する)パスワードを変えるべきイベントが定期的に起きてい
> るだけで、定期的にパスワードを変更しているのではないのでは
これは、そのとおりですね
退職や異動をすぐに把握できる立場にあればですが・・・
それと、周期を短くする必要はなくて長さを伸ばしていけばいいだけでしょw
”定期的に”って言ってるのに何いってんの?
Re: (スコア:0)
それ最悪な運用じゃね
そんなルールだと99%の人は古いパスワードの末尾に数字つけて伸ばしてくわwwwww
Re: (スコア:0)
えっ、セキュアにすべき環境にアクセスできる人が誰なのか把握できてないってことか!?
なんかもう色々前提からダメじゃん。
Re: (スコア:0)
ええと、なんかめんどくさそうな人に絡まれちゃったな・・・
残念ながらめんどくさいことを解決するまで話し続けるのはスラドなので
めんどくさい人に絡まれて嫌な人は最初からスラドに書きこまないでください。
Re: (スコア:0)
えっ、セキュアにすべき環境にアクセスできる人が誰なのか把握できてないってことか!?
なんかもう色々前提からダメじゃん。
アクセスできる人はパスワード知っている人のみですよ?
誰なのかはアクセス端末からわかりますね。
Re: (スコア:0)
ACごときが勝手に定義してんなよwww
Re: (スコア:0)
えっ、誰なのかは把握してるよ。
でも、お客さんとか人事異動ですーって連絡くれないよね・・・特に退職
東南アジアの人たちも相当いい加減で連絡くれたことないなー
Re: (スコア:0)
うん?
ある程度共有して運用せざるを得ないことを想定しているんだけど
末尾に数字つけてOKになるわけねーだろ
馬鹿じゃねーの?
Re: (スコア:0)
定期的にパスワードを変更しているのではないのでは
いや定期的に変えてパスワード知りたい人は申請して共有を得るのです。
短いほど意味があって1週間とか毎日とかあります。
某金融関係のシステムは2時間毎に申請が必要でした。
Re: (スコア:0)
そこまでしてなぜに共有?
個別にID発行すりゃいいじゃん。
そもそもパスワード自体に意味はない。
利用しようとするIDが正当な利用者によるか否かを判別するために存在するもの。
本末転倒というかなんというか。
Re: (スコア:0)
個別にID発行すりゃいいじゃん。
パスワードが時制ならば個別にIDを発行する必要なくなりますね。
そもそもパスワード自体に意味はない。
パスワードとは紐付くアカウントのアクセスを許可するためにあります。
利用しようとするIDが正当な利用者によるか否かを判別するために存在するもの。
利用するIDの利用者が正当な利用者かを判別するために
リアル利用者からの申請のたびにパスワードを随時発行しても同じことだと思いますよ。
てか過去のIDの付けられたパスワードよりも
IDに現在の利用者のパスワードをつけたほうが正当な利用者によって利用されていることを証明できるでしょう。
Re: (スコア:0)
> てか過去のIDの付けられたパスワードよりも
> IDに現在の利用者のパスワードをつけたほうが正当な利用者によって利用されていることを証明できるでしょう
その時に利用を許可するということからすれば、メールとか他のアプリとかで十分ということですね。
今まで読んだ中で最もしっくりくる記述でした。
ワンタイムパスワードの意義もわかりました。
ありがとうございます>匿名のどなたか
そうなると、やっぱり指紋や虹彩などを使うのは危険な気がしますが、横行(っていうのが適当かわかりませんが)してますね。
Re: (スコア:0)
そんな事よりも、
共有パスワードをさっさと廃止しろ。
残すにしても、退職とかの移動があったら、さっさと変更しろ。
そんなレベルの職場だったりする。
Re: (スコア:0)
そんなレベルの職場だったりする。
そんなレベルの職場だったらなんだろ?
本質を忘れて人を叩きたいだけになってますね。
Re: (スコア:0)
パスワード認証をやめて証明書認証に変えよう