アカウント名:
パスワード:
VPNのように個人の色を出したい需要がないシステムでは、もう「アクセスキー」みたいな新しい用語を作ってユーザIDとパスワードを繋げて一行にしてしまって、ついでにランダム生成して供給してしまってもいいような。ユーザ名があるシステムでも、多くの場合はログインのためだけのIDを任意に変更可能である必要性ってないですよね。
今回の話ってPSK設定デフォルトなのが問題なだけだから。その指摘は的外れもいいとこ。いわゆるそのアクセスキーが簡単すぎましたね。ってだけの話。
むしろ、IPSecのリモートアクセスの場合は、基本的にPSK(本来は秘匿情報)を知っている+ID(公開情報)/パスワード(秘匿情報)を知っているの2段階になっていて、そして、PSKは普通はランダム文字列を使うのでそこで一つ懸念は解消できるはずです。固定した一つのものでランダムだと現実的にはコピペ運用になるから、その情報が記載されたファイルかすめ取られたら自由にアクセスされてむしろ危険。
最近のセキュリティトレンドに沿うならアクセス制御のためのユーザー識別のためにIDは絶対必要で、パスワード(PINでもいい)+ワンタイムキーの2FAってのが最適解だと思います。
ん-べつに的を大きく外しているわけではないとおもうけどね。
今回は鍵情報が単純だとやぶえぇ~よ、とのことで認証とはちょっとちがうけど。そもそもその鍵情報が解読もしくは奪取されたら即TheENDにならないようにするもの悪くない案だと思うよ。
>最近のセキュリティトレンドに沿うならアクセス制御のためのユーザー識別のためにIDは絶対必要今のトレンドはそうではなくなってます。トレースをするための仕組みは必須です(絶対です。ただ、そのやり方として個人を安易に特定させない仕組みも必要になってます。
「個人を安易に特定させない仕組み」って言ってもランサムにやられたり標的型攻撃された時点で、(Credential的な)「誰」は攻撃側に取得されているケースが多いので、やらないよりかはマシだけど、結局ID紐づけの中間層ができるだけで実効性は微妙というイメージ。実際どうなんでしょうね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
ユーザIDとパスワード (スコア:2)
VPNのように個人の色を出したい需要がないシステムでは、もう「アクセスキー」みたいな新しい用語を作ってユーザIDとパスワードを繋げて一行にしてしまって、ついでにランダム生成して供給してしまってもいいような。ユーザ名があるシステムでも、多くの場合はログインのためだけのIDを任意に変更可能である必要性ってないですよね。
Re: (スコア:0)
今回の話ってPSK設定デフォルトなのが問題なだけだから。その指摘は的外れもいいとこ。
いわゆるそのアクセスキーが簡単すぎましたね。ってだけの話。
むしろ、IPSecのリモートアクセスの場合は、
基本的にPSK(本来は秘匿情報)を知っている+ID(公開情報)/パスワード(秘匿情報)を知っているの2段階になっていて、
そして、PSKは普通はランダム文字列を使うのでそこで一つ懸念は解消できるはずです。
固定した一つのものでランダムだと現実的にはコピペ運用になるから、その情報が記載されたファイルかすめ取られたら自由にアクセスされてむしろ危険。
最近のセキュリティトレンドに沿うならアクセス制御のためのユーザー識別のためにIDは絶対必要で、パスワード(PINでもいい)+ワンタイムキーの2FAってのが最適解だと思います。
Re:ユーザIDとパスワード (スコア:0)
ん-べつに的を大きく外しているわけではないとおもうけどね。
今回は鍵情報が単純だとやぶえぇ~よ、とのことで認証とはちょっとちがうけど。
そもそもその鍵情報が解読もしくは奪取されたら即TheENDにならないようにするもの
悪くない案だと思うよ。
>最近のセキュリティトレンドに沿うならアクセス制御のためのユーザー識別のためにIDは絶対必要
今のトレンドはそうではなくなってます。
トレースをするための仕組みは必須です(絶対です。
ただ、そのやり方として個人を安易に特定させない仕組みも必要になってます。
Re: (スコア:0)
「個人を安易に特定させない仕組み」って言ってもランサムにやられたり標的型攻撃された時点で、(Credential的な)「誰」は攻撃側に取得されているケースが多いので、
やらないよりかはマシだけど、結局ID紐づけの中間層ができるだけで実効性は微妙というイメージ。実際どうなんでしょうね。