アカウント名:
パスワード:
意味のない対応をするから要求するべきではないって結論はなぁ…
会社のドメコンポリシーが「パスワード12世代履歴管理」で最低13パターン必要なんだけど自分の知る限り、周りはみんな末尾に連番つけてベースは同じ文字列使ってるだけですね
縛りが緩かった昔は定期変更+同一パスワード無効だけでしたけど、それでも無限にincrementする連番をつけて同じ文字列の人とかいたな
xxxxx1 -> xxxxx2 -> xxxxx3 -> ...
#そりゃそうなる
アルファベットだけのパスワードを許可していたシステムで、数字も入ってないといけないように変更指示をすると、アルファベットの最後に数字を追加するユーザーが多いらしい。
定期変更や秘密の質問もだけれどアルファベットと数字を混在させなきゃNGとか連続する文字3つ以上はNGとかIDに含まれる文字列はNGとか6文字以上、8文字以上、12文字以下・・など文字数制限強制とかシステムによって違うローカルルールもどんだけ意味があるのか
2年ぐらい前まで動いていた、某保険屋の加入者向けサービスと仲介業者向けサービスは、アルファベット4文字固定+数字4文字固定だった。
なるほど。連番禁止にポリシーを変更しておくか。
Password!Password?Password#Password*Password_
それでも結局、!だったのか、?、#、*、_のどれだったのか分からなくなる。しかもパスワードの変更時に直前3回と同じパスワードの使い回し不可とかシステムに怒られて涙目。
早く帰りたいなら、今すぐパスワード再設定問い合わせ画面と再設定自動処理を用意するんだ!
すいません、正にコレですw某銀行のe-bankingで定期変更を強制されるので。いちいち覚えてらんないっての!
数百と管理するパスワードの定期変更とか不可能です
変更を強制されるシステムでも実際のユーザは嫌気がさして強度が下がってたり……
定期変更のメリットってなに?
>定期変更のメリットってなに?
運営サイドがセキュリティに気を配ってますよというポーズを示すため。
運営サイドが定期変更を促す必要がある状況で可能性が高いのは、定期的に運営サイドからパスワードが漏れてる場合です。セキュリティに気を配っているポーズどころか、パスワードがしょっちゅう漏れていることをアピールしています。
これですよね。
パスワードの定期的変更はパスワードリスト攻撃対策として有効かhttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2014/10.html#20141017__... [ryukoku.ac.jp]
規則の方をユーザが実施可能な形に合わせるべきで「定期変更に耐えられないユーザが悪い」では規則の存在する目的である情報やアクセスの保護が達成されない
それでも規則の方を押し付けるなら書いた人間が不達成の責任を取るしかない定期変更推進派が結果的に弱いパスワードから発生した損害を全部被ってくれるなら構わないけど
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
定期変更 (スコア:0)
意味のない対応をするから要求するべきではないって結論はなぁ…
Re:定期変更 (スコア:2, すばらしい洞察)
現実には危険な対応をとりがちで、リスクを減らすどころかリスクを高めてるのが現実だから、止めろって話。
(勧告の内容は「止めたほうがいい」ではなく「止めろ」だからね。)
Re:定期変更 (スコア:1)
会社のドメコンポリシーが「パスワード12世代履歴管理」で最低13パターン必要なんだけど
自分の知る限り、周りはみんな末尾に連番つけてベースは同じ文字列使ってるだけですね
縛りが緩かった昔は定期変更+同一パスワード無効だけでしたけど、それでも無限に
incrementする連番をつけて同じ文字列の人とかいたな
xxxxx1 -> xxxxx2 -> xxxxx3 -> ...
#そりゃそうなる
Re: (スコア:0)
アルファベットだけのパスワードを許可していたシステムで、数字も入ってないといけないように変更指示をすると、アルファベットの最後に数字を追加するユーザーが多いらしい。
Re: (スコア:0)
定期変更や秘密の質問もだけれど
アルファベットと数字を混在させなきゃNGとか
連続する文字3つ以上はNGとか
IDに含まれる文字列はNGとか
6文字以上、8文字以上、12文字以下・・など文字数制限強制とか
システムによって違うローカルルールもどんだけ意味があるのか
Re: (スコア:0)
2年ぐらい前まで動いていた、某保険屋の加入者向けサービスと仲介業者向けサービスは、アルファベット4文字固定+数字4文字固定だった。
Re: (スコア:0)
なるほど。連番禁止にポリシーを変更しておくか。
Re:定期変更 (スコア:1)
Password!
Password?
Password#
Password*
Password_
Re: (スコア:0)
それでも結局、!だったのか、?、#、*、_のどれだったのか分からなくなる。しかもパスワードの変更時に直前3回と同じパスワードの使い回し不可とかシステムに怒られて涙目。
Re: (スコア:0)
早く帰りたいなら、今すぐパスワード再設定問い合わせ画面と再設定自動処理を用意するんだ!
Re: (スコア:0)
>パスワードの定期変更では「Password1」といった具合に末尾に数字を追加するなど、その規則性が容易に推測できることなどから、システムはパスワードの定期的な変更をユーザーに要求すべきではないというもの。
この文面だけ読むと「末尾の数字だけの変更がNG」と解釈するアホが出てくるかもしれない。
Re: (スコア:0)
すいません、正にコレですw
某銀行のe-bankingで定期変更を強制されるので。
いちいち覚えてらんないっての!
Re: (スコア:0)
数百と管理するパスワードの定期変更とか不可能です
変更を強制されるシステムでも
実際のユーザは嫌気がさして強度が下がってたり……
Re: (スコア:0)
定期変更のメリットってなに?
Re:定期変更 (スコア:2)
>定期変更のメリットってなに?
運営サイドがセキュリティに気を配ってますよというポーズを示すため。
Re:定期変更 (スコア:3, すばらしい洞察)
運営サイドが定期変更を促す必要がある状況で可能性が高いのは、定期的に運営サイドからパスワードが漏れてる場合です。
セキュリティに気を配っているポーズどころか、パスワードがしょっちゅう漏れていることをアピールしています。
Re: (スコア:0)
これですよね。
Re: (スコア:0)
パスワードの定期的変更はパスワードリスト攻撃対策として有効か
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2014/10.html#20141017__... [ryukoku.ac.jp]
Re: (スコア:0)
規則の方をユーザが実施可能な形に合わせるべきで「定期変更に耐えられないユーザが悪い」では
規則の存在する目的である情報やアクセスの保護が達成されない
それでも規則の方を押し付けるなら書いた人間が不達成の責任を取るしかない
定期変更推進派が結果的に弱いパスワードから発生した損害を全部被ってくれるなら構わないけど