quaternionの日記: いまどきパスワードジェネレータを使わないなんて 24
日記 by
quaternion
プレジデントオンラインの「バレないパスワードは、なぜ「3時のおやつは、カステラが一番」か?」て記事に「パスワードはローマ字で作るといい」と書かれていて我が目を疑った.
パスワードジェネレータをなんで勧めないんだろう.
プレジデントオンラインの「バレないパスワードは、なぜ「3時のおやつは、カステラが一番」か?」て記事に「パスワードはローマ字で作るといい」と書かれていて我が目を疑った.
パスワードジェネレータをなんで勧めないんだろう.
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
製作者の悪意とか脆弱性とか (スコア:2)
自信を持って安全だ、と言えるパスワードジェネレータの提示が難しい、って問題のせいかな、と思う。
Re:製作者の悪意とか脆弱性とか (スコア:2)
管理ツールの安全性は大した問題じゃないです。妙なブランド信仰で変なものを掴まされなければ、概ねどれを使っても十分なセキュリティがあるはずです。
単純に多くの一般人がIDとパスワードを雰囲気でやっていっているために移行が困難なことの方が実務的に問題です。
Re: (スコア:0)
一般人にパスワードジェネレーター使わせようとしたら、お前らが無償サポしない限りほとんど100%確実に「パスワードジェネレーター 無料」でググる→最初のリンク(広告)をクリック→マルウェア感染になる。OSに標準でパスワードジェネレーターがついてたらいいんだけど。
Re:製作者の悪意とか脆弱性とか (スコア:2)
Google Chromeとか使ってくれるといいんですけどねー。
覚えられないから (スコア:1)
ジェネレートしやすいだけでは、並の人間には使いにくいのです。残念ながら。
ですので、覚えやすくするか、覚えなくても済むようにする対策が候補になります。
Re:覚えられないから (スコア:2)
Re:覚えられないから (スコア:1)
それはバックアップの目的であって、
「パスワードは手帳に覚えてもらって自分では忘れましょう。毎回手帳を開きましょう」という提案ではないですよね。
(仮にもしそういう提案だとしたら、「いまどきパスワードマネージャーを使わないなんて」とツッコんだ上で「覚えなくていいんだからジェネレーターを使おうよ」と言えるとは思いますが。)
Re:覚えられないから (スコア:1)
結局自分の力だけでパスワード生成や記憶するのも無理になってきてるから、パスワードマネージャーやジェネレーターを推奨したくなりそう。
ハックする方はIT駆使してるのに、人力だけでパスワード管理やってらんないし。
ヘタに手帳にバックアップしてるとソーシャルハックでやられたり・・・
#つい暗黒面ばかり連想してしまう。
Re:覚えられないから (スコア:1)
頻繁に覚えにくいパスワードを変更してユーザの負担を増やすよりは。
不定長なパスフレーズにする方が利便性とセキュリティ強度は良んじゃないかという話は以前から良く見かけますね
「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ
http://internet.watch.impress.co.jp/docs/yajiuma/1007177.html [impress.co.jp]
実は危ない、パスワードの定期変更
http://www.nikkei.com/article/DGXMZO05876050Z00C16A8000000/ [nikkei.com]
パスワードを定期的に変更させるシステム仕様には問題がある
http://gigazine.net/news/20160501-password-expiry-problem [gigazine.net]
Re: (スコア:0)
パスワードの定期変更が駄目なのはユーザーが馬鹿だからであって、
定期変更自体が駄目なわけではないのに誤解している人多いよね。
パスワードジェネレーターやパスワード管理ツールが当たり前になれば、
パスワード流出時の対応訓練として定期変更が推奨されるようになるかもしれない。
Re:覚えられないから (スコア:1)
パスワード管理ツールがある程度以上当たり前になれば、管理ツールとサービスの間にトークンを定期的に交換するインターフェイスができるでしょうね。
Re:覚えられないから (スコア:1)
そのときは定期交換なんて半端なことはせずに、毎回交換(ワンタイムパスワード)が徹底されると思います。
Re:覚えられないから (スコア:2)
ワンタイムパスワードは毎回交換ではありません :p
Re: (スコア:0)
>パスワードの定期変更が駄目なのはユーザーが馬鹿だからであって、
多くの他人が馬鹿に見えるのはしょうがないよ。
世の中はその馬鹿を基準にしないと回らないのに気づかないと馬鹿を見るから。
Re: (スコア:0)
バカがいなければ万全な対策って、つまり無理ってことですよね
Re:覚えられないから (スコア:1)
>パスワードの定期変更が駄目なのはユーザーが馬鹿だからであって、
>定期変更自体が駄目なわけではないのに誤解している人多いよね。
いや、駄目なの。
なぜなら意味がないことに労力を費やしているから、結局マイナスになる。
なぜ破られてもいないパスワードを変更する必要があるのか。
ブルートフォースアタックを気にするのなら、パスワードを変更することでアタック中の文字列付近に変えてしまう可能性をなぜ無視するのか。
#変えてしまうことでパスワードの判明を早くしてしまう可能性
それが考えにくいというのなら、同じパスワード強度なら元のままでも十分安全といえる。
充分な強度のパスワードを設定したら、アクセス監視で本人以外のログインを速やかに察知できる体制にするのが現状の正しいやり方。
定期的なパスワード変更を「アクセス監視はできないけど定期的に変えてるからそれなりに大丈夫」という言い訳にしてしまうなら、それはさらに悪質になってしまう。
Re: (スコア:0)
なぜ破られてもいないパスワードを変更する必要がある
>パスワード流出時の対応訓練として定期変更が推奨される
パスワードを変更することでアタック中の文字列付近に変えてしまう可能性
アタック済みの文字列に変更できた可能性とどちらが高いんですか?
Re: (スコア:0)
> アタック済みの文字列に変更できた可能性とどちらが高いんですか?
先コメで
> それが考えにくいというのなら、同じパスワード強度なら元のままでも十分安全といえる。
ここまで書いてもらっていてわからないのなら、口出さない方がいいんじゃないかなぁ
Re: (スコア:0)
>>パスワード流出時の対応訓練として定期変更が推奨される
元記事に書かれていたのかな? 要ログイン部分なのか見当たらなかった。
とりあえず何を根拠に「対応訓練として定期変更が推奨される」なのかさっぱりわからん。
その理由も元記事に書いているなら引用よろしく。
#社内システムにつながったクライアントPCに不正ログインされたら、
#まず変なウィルスとか仕込まれてないか疑ってネットワークから切り離したうえで
#端末使用不可にするはずだが。
#サーバーへのログインなら、パスワード変更とか悠長なことする前にアカウントロックだろう。
#アカウント上で何が行われ
Re: (スコア:0)
>パスワード流出時の対応訓練として定期変更が推奨されるようになるかもしれない。
は(#3218599)の4行目か。
ごめんなさい見逃してた。
で、訓練でも意味は無いなぁという理由は書いた通り。
侵入された時の対処として、ユーザーが操作する出番はほとんどないから。
Re: (スコア:0)
「スペルや文法を間違えなければ」という制限がつきますが。
そこが日本人には辛い気が。
フレーズ入力するつもりでならローマ字入力もアリだと思うけど、その場合はパスワードの
文字烈長が事実上半分になるので、最初から倍以上の長さ(たとえば最大で50~100文字とか。)の
パスワードが受け付けられるようになってないと厳しいでしょうね。
Re:覚えられないから (スコア:1)
>「スペルや文法を間違えなければ」という制限がつきますが。
ヘボン式やら色々在るのでローマ字もあやういね。
かといってにバイトコードをパスワードに使うのはさらにチャレンジャーでしょうし。
パスフレーズ設定時は三回(以上)同じのを入力して間違い長いことを確認するのかな。
#それもまためんどくさそう・・・
人という不確かなデバイスが入る限り難しそう。
Re: (スコア:0)
スペルや文法を間違えていても、再現性があれば構わないのでは。
パスワードなんだし。
#むしろスペルや文法が間違ってる方が辞書的に強そう。
Re: (スコア:0)
設定時に誤った確信のもとで間違った単語を使っていて、後で「あのパスワード何だったっけ~確かこういう意味合いの~辞書辞書」ってなる落とし穴が
// 個人的にはスペルよりも前置詞の使い分けの方がネックだな…