アカウント名:
パスワード:
既にお漏れになった場合だけよね。そもそもパスワードを定期的に変更しろっていう理由や初出は何なんだろう。
桁数や使える文字種が少ない場合は、変更に意味があるよ。クレカとかキャッシュカードのパスワードなどが代表的。
なぜ桁数や使える文字種が少ない場合は変更に意味があるのか説明できますか?
ブルートフォースアタックが一周するまでに要する時間が短いので一周する前に変えないと確実に破られる。普通は3トライミスでロックアウトとか、ブルートフォースアタックの抑止機能を入れて対処するけどね。
パスワードの定期的変更について徳丸さんに聞いてみた(1) | 徳丸浩の日記 [tokumaru.org]
徳丸: それが、意味がないのですよ。パスワードを定期的に変更すべしという人の中には、パスワードを変更すると「ひらりと」パスワード攻撃を避けることができるという人がいますが、それは違います。高橋: 違うのですか?徳丸: はい。攻撃側も防御側も相手の手の内がわからない状態なので、「たまたま攻撃をかわせる」可能性もあれば、「パスワードを変更したら、たまたま攻撃に掛かってしまう」場合もあります。闇夜にむやみやたらに鉄砲を撃ってくるのを避ける状況を想像してみて下さい。むやみによけても、よけた先で弾に当たるかもしれません。
徳丸: それが、意味がないのですよ。パスワードを定期的に変更すべしという人の中には、パスワードを変更すると「ひらりと」パスワード攻撃を避けることができるという人がいますが、それは違います。
高橋: 違うのですか?
徳丸: はい。攻撃側も防御側も相手の手の内がわからない状態なので、「たまたま攻撃をかわせる」可能性もあれば、「パスワードを変更したら、たまたま攻撃に掛かってしまう」場合もあります。闇夜にむやみやたらに鉄砲を撃ってくるのを避ける状況を想像してみて下さい。むやみによけても、よけた先で弾に当たるかもしれません。
そうなると確率論の問題だから、「定期的な替えたほうがよくね?」になる。一定数球が入り1球だけ当たりで他はすべてハズレの抽選機において、パスワードを状態は単純に球をどんどん出して行っている状態だが、定期的にパスワードを変えることによって球の数が補充される。もちろん補充したところで当たることもあるが、球が補充されない状態よりかは相当マシ。
リバースブルートフォース攻撃に弱くなるって言ってるんだよ。自分から弾に当たりに行くようなものって言うのはそういう事。なので定期的な変更よりパスワードの強度を上げる方が重要視される。
パスワード強度を上げることの方が重要視されるのは同意するが、リバースブルートフォースでも元から入っている当たり玉が増えるだけで考え方は同じだぞ。いつ当たるかわからない以上は球が減ったままにしとく方が確率論としてはダメ。そんなんだから今は多要素認証が重要視されるわけで、そのうち単一要素認証はなくなる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
パスワード変更で意味あるのは (スコア:0)
既にお漏れになった場合だけよね。
そもそもパスワードを定期的に変更しろっていう理由や初出は何なんだろう。
Re: (スコア:-1)
桁数や使える文字種が少ない場合は、変更に意味があるよ。
クレカとかキャッシュカードのパスワードなどが代表的。
Re: (スコア:0)
なぜ桁数や使える文字種が少ない場合は変更に意味があるのか説明できますか?
Re: (スコア:0)
ブルートフォースアタックが一周するまでに要する時間が短いので
一周する前に変えないと確実に破られる。
普通は3トライミスでロックアウトとか、ブルートフォースアタックの抑止機能を入れて対処するけどね。
Re: (スコア:0)
パスワードの定期的変更について徳丸さんに聞いてみた(1) | 徳丸浩の日記 [tokumaru.org]
Re: (スコア:0)
そうなると確率論の問題だから、「定期的な替えたほうがよくね?」になる。
一定数球が入り1球だけ当たりで他はすべてハズレの抽選機において、パスワードを状態は単純に球をどんどん出して行っている状態だが、
定期的にパスワードを変えることによって球の数が補充される。もちろん補充したところで当たることもあるが、球が補充されない状態よりかは相当マシ。
Re: (スコア:0)
リバースブルートフォース攻撃に弱くなるって言ってるんだよ。
自分から弾に当たりに行くようなものって言うのはそういう事。
なので定期的な変更よりパスワードの強度を上げる方が重要視される。
Re:パスワード変更で意味あるのは (スコア:0)
パスワード強度を上げることの方が重要視されるのは同意するが、リバースブルートフォースでも元から入っている当たり玉が増えるだけで考え方は同じだぞ。いつ当たるかわからない以上は球が減ったままにしとく方が確率論としてはダメ。
そんなんだから今は多要素認証が重要視されるわけで、そのうち単一要素認証はなくなる。