アカウント名:
パスワード:
プライベートでインターネットにアクセスするだけの一般ユーザに企業ユーザ並みのパスワード運用を求める方々には、「コンピュータリテラシーに乏しい自分の親や知人にも要求するんですか」って言いたい。俺にはできない。どこかで妥協する。
高木浩光流 インターネットの歩き方(後編) [securityblog.jp]
―セキュリティに関する間違った情報が多いという話を1つだけしますと、たとえばパスワードは定期的に変更してくださいってよくいいますよね。これは間違いです、と私は主張しています。むしろ変更しないほうがよい、と。パスワードを毎月変えると覚えられないでしょう。しょっちゅう変えなさいというのは、無理な要求をしているわけです。定期的に変えてくださいといっているサイトに、定期的というのは実際どのくらいですかって聞いてみるとね、誰も答えられないんですよ。
パスワードを定期的に変更する事の効果に関しては、懐疑的な意見がありますね。
徳丸さんの記事(「パスワードの定期変更は「神話」なのか?」 [hatena.ne.jp]、「続パスワードの定期変更は神話なのか」 [hatena.ne.jp])とか、定期変更の間隔を短くしても、効果は頭打ちになる、という計算結果 [hatena.ne.jp]があったり。
パスワードの定期変更よりも、パスワードを1文字長くする方が、ブルートフォースに対する耐性は 100 倍近く高くなるわけだから、最低文字数を上げる方がずっと効果的なはず。
で、最近気がついたんだけど、OCN のメール用のパスワードが最大8文字に、かなり驚いた。 http://help.ocn.ne.jp/ols/mail/10002_m_infochk.html [ocn.ne.jp]
パスワードが最大8文字
これってハッシュじゃなく平文でパスワードを保存してるってことだよなあ
> 定期的というのは実際どのくらいですかって聞いてみるとね、誰も答えられないんですよ。ログインしたときに「XX日間パスワードを変えていません」というメッセージが出てくるところがよくある。これは、暗にそれに答えてるんじゃない?
いやいやそれは管理者側がユーザーに判断を丸投げしてるのであって、高木先生のご指摘は、これこれの理由によりこのくらいの間隔で変更すべきである、ということを説明できる管理者がいない、ということでしょう。
判断を「投げ」ているし、「理由」の提示もないけど、特定の日数で注意勧告を出すという決め事をしている以上、「丸投げ」ではないよね。
???そいういうのを丸投げっていうんですが^^;責任と判断を理由もなく「投げて」フォローや協力する事を放棄しているのですから。日数の注意勧告ってのいわゆるはポーズですよね。
よく分からない仕事をあなたに「投げて」毎日「あれから○日たったね。」と言っていればあなたはあなたの知らない納期までに仕事を完遂してくれるのかな?
私はその仕事について何か聞かれても一切答えないけど。何日経過したか毎日知らせていたのだから失敗したらあなたの失敗として責任取ってくれるのかな?成功したら、私が経過日数を教えていたのだから私の手柄としていいのかな?
たまにしか使わないJALのマイレージサイトが、セキュリティー向上を理由に暗証番号を四桁から六桁にしたとき、ダメになった。普通、たまにしか使わない数字だけのパスワードで、何の関連性もない数字の羅列を覚えきれるのは四桁くらい。数ヶ月おきにしか使わないのに六桁の乱数なんて無理。それよりは英数字にして桁数を増やしたほうがまだよかった。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
「ユーザのパスワード運用が」厨は高木氏くらいの定見を持ってから発言しよう (スコア:2, 興味深い)
プライベートでインターネットにアクセスするだけの一般ユーザに企業ユーザ並みのパスワード運用を求める方々には、「コンピュータリテラシーに乏しい自分の親や知人にも要求するんですか」って言いたい。
俺にはできない。どこかで妥協する。
高木浩光流 インターネットの歩き方(後編) [securityblog.jp]
パスワード変更の効果 (スコア:3, 参考になる)
パスワードを定期的に変更する事の効果に関しては、懐疑的な意見がありますね。
徳丸さんの記事(「パスワードの定期変更は「神話」なのか?」 [hatena.ne.jp]、「続パスワードの定期変更は神話なのか」 [hatena.ne.jp])とか、定期変更の間隔を短くしても、効果は頭打ちになる、という計算結果 [hatena.ne.jp]があったり。
パスワードの定期変更よりも、パスワードを1文字長くする方が、ブルートフォースに対する耐性は 100 倍近く高くなるわけだから、最低文字数を上げる方がずっと効果的なはず。
で、最近気がついたんだけど、OCN のメール用のパスワードが最大8文字に、かなり驚いた。
http://help.ocn.ne.jp/ols/mail/10002_m_infochk.html [ocn.ne.jp]
Re: (スコア:0)
パスワードが最大8文字
これってハッシュじゃなく平文でパスワードを保存してるってことだよなあ
Re: (スコア:0)
> 定期的というのは実際どのくらいですかって聞いてみるとね、誰も答えられないんですよ。
ログインしたときに「XX日間パスワードを変えていません」というメッセージが出てくるところがよくある。
これは、暗にそれに答えてるんじゃない?
Re:「ユーザのパスワード運用が」厨は高木氏くらいの定見を持ってから発言しよう (スコア:1, すばらしい洞察)
いやいやそれは管理者側がユーザーに判断を丸投げしてるのであって、高木先生のご指摘は、これこれの理由によりこのくらいの間隔で変更すべきである、ということを説明できる管理者がいない、ということでしょう。
Re: (スコア:0)
判断を「投げ」ているし、「理由」の提示もないけど、特定の日数で注意勧告を出すという決め事をしている以上、「丸投げ」ではないよね。
Re:「ユーザのパスワード運用が」厨は高木氏くらいの定見を持ってから発言しよう (スコア:1)
???
そいういうのを丸投げっていうんですが^^;
責任と判断を理由もなく「投げて」フォローや協力する事を放棄しているのですから。
日数の注意勧告ってのいわゆるはポーズですよね。
よく分からない仕事をあなたに「投げて」毎日「あれから○日たったね。」と言っていればあなたはあなたの知らない納期までに仕事を完遂してくれるのかな?
私はその仕事について何か聞かれても一切答えないけど。何日経過したか毎日知らせていたのだから失敗したらあなたの失敗として責任取ってくれるのかな?成功したら、私が経過日数を教えていたのだから私の手柄としていいのかな?
Re: (スコア:0)
たまにしか使わないJALのマイレージサイトが、セキュリティー向上を理由に暗証番号を四桁から六桁にしたとき、ダメになった。
普通、たまにしか使わない数字だけのパスワードで、何の関連性もない数字の羅列を覚えきれるのは四桁くらい。
数ヶ月おきにしか使わないのに六桁の乱数なんて無理。
それよりは英数字にして桁数を増やしたほうがまだよかった。