アカウント名:
パスワード:
物理的メディアの場合
あなたは平均的な個人のリテラシをかなり高く見積もっているようですが、実際はお粗末なものですよ。 実際、今国で議論されているキャッシュカードが窃用された場合の金融機関の責任の話でも、暗証番号に生年月日を使っている場合ですら軽過失です。 そのような人にリテラシ教育をするよりは、物理的「鍵」を作ってそれを大事に保管する事を徹底する方が余程簡単です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
批判? (スコア:3, 興味深い)
そうか?賞賛されるべきじゃないか?
興味本位だったにせよ、最後はちゃんと名乗り出てるんだから。
>取り敢えず学校のネットワーク管理者がやることは、校長のアカウント停止だと思うのですが、いかがでしょうか。
校長が管理者だったりする罠
Re:批判? (スコア:1)
と,言うか校長はパスワード変更したのか?
校長の名前が報道に出てる以上は校内ネットに繋げられる
生徒・教職員なら全員が情報をぶっこ抜ける状態ってこったろ?
Re:批判? (スコア:1)
Re:批判? (スコア:1)
#桁数を長くするだけでも効果はありそうだが。
Re:批判? (スコア:2, 興味深い)
有効期限を短くすると、安易なパスワードになり易いことは一般的に知られているのでは?
命名ルールって、元々安易な奴は禁止されていると思うけど、弾くシステムを導入していないだけでは?
俺のパスワード管理は、USBメモリにテキストデータとして保存。(以前はFDに入れていた)
覚えようと思うこと自体が間違っていると思う。
Re:批判? (スコア:1)
Re:批判? (スコア:1, すばらしい洞察)
進入されても一定期間で変わるから、それ以上長く居すわれないってぐらいにしか思えない。
パスワードは多すぎるから暗記せずに物理的なメディアに封入したい。
パスワードの有効期限 (スコア:2, すばらしい洞察)
総当り攻撃を理論的に不可能にするだけの意味しかないと思います。
人間に対して、パスワード変更を頻繁に強要すれば、
・どこかに書いて覚えておく
・単純な(あるいは人にとって意味のある)文字列を使いまわす
などを行うことが考えら得れます。
これは、総当り攻撃以外の、ソーシャルハッキングや辞書攻撃に対しては
より脆弱な仕組みであると考えられるのではないでしょうか。
Re:パスワードの有効期限 (スコア:2, 興味深い)
うちの会社での最近の笑える話としては、各種のバラバラなシステムに対し "統一セキュリティポリシ" に従うよう 指令がでて、月末申請用システム(1月に1回しか使わない)のパスワードの有効期限が45日になったり、 なんていう事態が発生しています。 どう考えてもおかしい。
頻繁に変えれば総当たり攻撃に強いかという所も変で、 (仮にパスワードのエントロピが変わらなくても) ひたすら総当たり攻撃が続けられているのであれば、 1回の試行に対する突破期待値は変わらないので、長期間の攻撃を実施しての突破危険性も結局変わらないです。
変えない方が良い、とまでは思っていませんが、パスワードの有効期限の短さ競争みたいな 不毛な世界についてなんとかならんのか、と。
Re:パスワードの有効期限 (スコア:0)
なにをそんなに過敏に総当たり総当たりって
Re:パスワードの有効期限 (スコア:1)
そのIPアドレスからのアクセスを数秒無効にするだけで良いんじゃ?
ちなみに、総当り攻撃に強いのは長さと文字の種類であって、頻繁に変えることじゃないよな。
頻繁に変えるのは、進入されたときにパスを変えることによって入れなくするだけでしょ?
Re:批判? (スコア:1)
物理的なメディアってなんですか?、カードか何かで済ませたいと?
そちらの方が危険でしょ?、カギを盗ませ易くするだけのことじゃないかと?
ユーザーにとっても面倒なら、侵入者にとっても面倒な筈で、セキュリティ上はその方が良いかと?
#ま、管理者がバカだと何をどうやっても意味ないですが
Re:批判? (スコア:3, すばらしい洞察)
物理的メディアの場合
もちろん、一時的に拝借して使った後返せばわからないとか、パスワード管理の代わりに物理的メディアの管理を徹底しなくてはいけなくなるとか、物理メディアにしても完璧ではありませんが、フールプルーフという面では、パスワードよりは物理的「鍵」の方が安全性を高める事は容易になります。
あなたは平均的な個人のリテラシをかなり高く見積もっているようですが、実際はお粗末なものですよ。
実際、今国で議論されているキャッシュカードが窃用された場合の金融機関の責任の話でも、暗証番号に生年月日を使っている場合ですら軽過失です。
そのような人にリテラシ教育をするよりは、物理的「鍵」を作ってそれを大事に保管する事を徹底する方が余程簡単です。
Re:批判? (スコア:0)
入られる前に変えたところで入られる確率には何の違いも効果もないわけだ。
新しい認証の勉強でもしてみては? 銀行がICカード化してる理由もわかるから。