アカウント名:
パスワード:
なぜ定期的にパスワードを変更することが無意味なのでしょう?
定期的にパスワードを変更することが無意味なことは昨今では頻繁に説明されており、セキュリティについて学んでいる人であれば意味が無く利用者に不便を強いるだけのルールであることはもはや常識だろう。
ここでは頻繁に説明されているから学んでいる人の常識だからと書かれています。
マジレスすると、めんどくさいルールを押し付けるとユーザーがパスワードを使いまわしたり、ポストイットで貼り付ける事をするから
それは従来から既知じゃね? なぜ突然それを言い出したの?
> セキュリティについて学んでいる人であればつまり、偉い人には既知でなかったんでしょ。なぜ突然かは知らない。
実務家の中の常識なんだよ。ただ定式化されていないから、サービス設計には織り込みづらい。例えば「破られる確率変数Xと利用性指標Yを元に計算すると、何桁前後で流出可能性Zが最小となります」とか「人間の暗記可能情報量は何bitですから、余裕を持って20桁にしましょう」というような御説明ができない。だから「桁数を無限に増やせば無限に強度が上がるはずだが、私が覚えられる上限の12桁にしよう」とか「数字や記号を使うと空間が広がるから、使わせるようにしよう」といった雰囲気でルールが作られてる。
でも実際に事例を研究したり理論を考えたりするセキュリティ業界人は、煩雑な定期変更が原因で流出したり記号を含んだ短いパスワードが破られたりすることを実例から知っているから、まだ理論は固まってないけどやめろと言い続けてる。まともにクラックに対抗できるパスワードは一人当たり精々数個しか覚えられないから、パスワードはトークンのロック解除用だけに使って、後は証明書などで認証すべきというのが今の流れ。OAuthが流行ったのもそれ。
パスワードを使いまわすポストイットで貼り付ける
は、定期的にパスワードを変更することの無意味とは別にやってはいけないことですね。
やってはいけないことを促進するなら結果的に無意味(場合によっては悪影響)だろ?パスワードが流出したり盗み見されたりしなければ定期的に変更しても効果はないだろ?これだから夏は嫌だ
それが定期的にパスワードを変更することと関連してるって問題だろが
死ねよキチガイお前のようなゴミクズはこの世界に存在してはならない死ね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
定期的にパスワードを変更することが無意味なことは昨今では頻繁に説明されており (スコア:0)
なぜ定期的にパスワードを変更することが無意味なのでしょう?
定期的にパスワードを変更することが無意味なことは昨今では頻繁に説明されており、セキュリティについて学んでいる人であれば意味が無く利用者に不便を強いるだけのルールであることはもはや常識だろう。
ここでは
頻繁に説明されているから
学んでいる人の常識だから
と書かれています。
Re:定期的にパスワードを変更することが無意味なことは昨今では頻繁に説明されており (スコア:0)
マジレスすると、めんどくさいルールを押し付けるとユーザーがパスワードを使いまわしたり、ポストイットで貼り付ける事をするから
Re: (スコア:0)
それは従来から既知じゃね? なぜ突然それを言い出したの?
Re: (スコア:0)
> セキュリティについて学んでいる人であれば
つまり、偉い人には既知でなかったんでしょ。
なぜ突然かは知らない。
Re: (スコア:0)
実務家の中の常識なんだよ。ただ定式化されていないから、サービス設計には織り込みづらい。
例えば「破られる確率変数Xと利用性指標Yを元に計算すると、何桁前後で流出可能性Zが最小となります」とか「人間の暗記可能情報量は何bitですから、余裕を持って20桁にしましょう」というような御説明ができない。
だから「桁数を無限に増やせば無限に強度が上がるはずだが、私が覚えられる上限の12桁にしよう」とか「数字や記号を使うと空間が広がるから、使わせるようにしよう」といった雰囲気でルールが作られてる。
でも実際に事例を研究したり理論を考えたりするセキュリティ業界人は、煩雑な定期変更が原因で流出したり記号を含んだ短いパスワードが破られたりすることを実例から知っているから、
まだ理論は固まってないけどやめろと言い続けてる。まともにクラックに対抗できるパスワードは一人当たり精々数個しか覚えられないから、パスワードはトークンのロック解除用だけに使って、後は証明書などで
認証すべきというのが今の流れ。OAuthが流行ったのもそれ。
Re: (スコア:0)
パスワードを使いまわす
ポストイットで貼り付ける
は、定期的にパスワードを変更することの無意味とは別にやってはいけないことですね。
Re: (スコア:0)
やってはいけないことを促進するなら結果的に無意味(場合によっては悪影響)だろ?
パスワードが流出したり盗み見されたりしなければ定期的に変更しても効果はないだろ?
これだから夏は嫌だ
Re: (スコア:0)
それが定期的にパスワードを変更することと関連してるって問題だろが
Re: (スコア:0)
死ねよキチガイ
お前のようなゴミクズはこの世界に存在してはならない
死ね