アカウント名:
パスワード:
実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。
強固なパスワードだからと余裕こいてたら、ユーザーのパスワードが流出しててサービス運営側が何年間も気づかずユーザーへの通知もなくクラックされ放題だったとかね。
流出したときに発生する被害って気が付くまでの期間が1ヶ月も数年間でも対して変わんないし
いや、そうでもない。盗まれた場合は即座に利用されるだろうが、流出だと使われるのはいつかはわからん。運が良ければ助かることもあるだろう。定期的な変更ってある意味運頼みな安全策。
運頼みな時点で安全策じゃないことに気付いてほしいところなのだけど。
大昔のクラッキング事例集を読むと/etc/passwdを盗まれたケースが記録されてる ソルト付きパスワードや桁数追加で対策されたのにその中の一つの定期変更だけが残ってしまったんだと思う
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
流出に即座に気づいて教えてくれればいいんだけどね。 (スコア:2)
実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。
強固なパスワードだからと余裕こいてたら、ユーザーのパスワードが流出しててサービス運営側が何年間も気づかずユーザーへの通知もなくクラックされ放題だったとかね。
Re: (スコア:0)
流出したときに発生する被害って気が付くまでの期間が1ヶ月も数年間でも対して変わんないし
Re:流出に即座に気づいて教えてくれればいいんだけどね。 (スコア:1)
いや、そうでもない。
盗まれた場合は即座に利用されるだろうが、流出だと使われるのはいつかはわからん。
運が良ければ助かることもあるだろう。
定期的な変更ってある意味運頼みな安全策。
運頼みな時点で安全策じゃないことに気付いてほしいところなのだけど。
Re: (スコア:0)
大昔のクラッキング事例集を読むと/etc/passwdを盗まれたケースが記録されてる ソルト付きパスワードや桁数追加で対策されたのにその中の一つの定期変更だけが残ってしまったんだと思う