パスワードを忘れた? アカウント作成
13294301 journal
日記

quaternionの日記: いまどきパスワードジェネレータを使わないなんて 24

日記 by quaternion

プレジデントオンラインの「バレないパスワードは、なぜ「3時のおやつは、カステラが一番」か?」て記事に「パスワードはローマ字で作るといい」と書かれていて我が目を疑った.

パスワードジェネレータをなんで勧めないんだろう.

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 自信を持って安全だ、と言えるパスワードジェネレータの提示が難しい、って問題のせいかな、と思う。

    • 管理ツールの安全性は大した問題じゃないです。妙なブランド信仰で変なものを掴まされなければ、概ねどれを使っても十分なセキュリティがあるはずです。
      単純に多くの一般人がIDとパスワードを雰囲気でやっていっているために移行が困難なことの方が実務的に問題です。

      親コメント
      • by Anonymous Coward

        一般人にパスワードジェネレーター使わせようとしたら、お前らが無償サポしない限りほとんど100%確実に「パスワードジェネレーター 無料」でググる→最初のリンク(広告)をクリック→マルウェア感染になる。OSに標準でパスワードジェネレーターがついてたらいいんだけど。

  • by minet (45149) on 2017年05月29日 8時47分 (#3218592) 日記

    ジェネレートしやすいだけでは、並の人間には使いにくいのです。残念ながら。
    ですので、覚えやすくするか、覚えなくても済むようにする対策が候補になります。

    • リンク先の記事はパスワードを手帳に書いておきましょうという話なのです.
      親コメント
      • by minet (45149) on 2017年05月29日 12時33分 (#3218679) 日記

        それはバックアップの目的であって、
        「パスワードは手帳に覚えてもらって自分では忘れましょう。毎回手帳を開きましょう」という提案ではないですよね。
        (仮にもしそういう提案だとしたら、「いまどきパスワードマネージャーを使わないなんて」とツッコんだ上で「覚えなくていいんだからジェネレーターを使おうよ」と言えるとは思いますが。)

        親コメント
        • by nemui4 (20313) on 2017年05月29日 12時57分 (#3218684) 日記

          結局自分の力だけでパスワード生成や記憶するのも無理になってきてるから、パスワードマネージャーやジェネレーターを推奨したくなりそう。
          ハックする方はIT駆使してるのに、人力だけでパスワード管理やってらんないし。

          ヘタに手帳にバックアップしてるとソーシャルハックでやられたり・・・
          #つい暗黒面ばかり連想してしまう。

          親コメント
    • by nemui4 (20313) on 2017年05月29日 8時56分 (#3218593) 日記

      頻繁に覚えにくいパスワードを変更してユーザの負担を増やすよりは。
      不定長なパスフレーズにする方が利便性とセキュリティ強度は良んじゃないかという話は以前から良く見かけますね

      「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ
      http://internet.watch.impress.co.jp/docs/yajiuma/1007177.html [impress.co.jp]

      実は危ない、パスワードの定期変更
      http://www.nikkei.com/article/DGXMZO05876050Z00C16A8000000/ [nikkei.com]

      パスワードを定期的に変更させるシステム仕様には問題がある
      http://gigazine.net/news/20160501-password-expiry-problem [gigazine.net]

      親コメント
      • by Anonymous Coward

        パスワードの定期変更が駄目なのはユーザーが馬鹿だからであって、
        定期変更自体が駄目なわけではないのに誤解している人多いよね。

        パスワードジェネレーターやパスワード管理ツールが当たり前になれば、
        パスワード流出時の対応訓練として定期変更が推奨されるようになるかもしれない。

        • by 90 (35300) on 2017年05月29日 18時14分 (#3218831) 日記

          パスワード管理ツールがある程度以上当たり前になれば、管理ツールとサービスの間にトークンを定期的に交換するインターフェイスができるでしょうね。

          親コメント
        • by Anonymous Coward

          >パスワードの定期変更が駄目なのはユーザーが馬鹿だからであって、

          多くの他人が馬鹿に見えるのはしょうがないよ。
          世の中はその馬鹿を基準にしないと回らないのに気づかないと馬鹿を見るから。

        • by Anonymous Coward

          バカがいなければ万全な対策って、つまり無理ってことですよね

          • by Anonymous Coward on 2017年05月29日 13時03分 (#3218689)

            >パスワードの定期変更が駄目なのはユーザーが馬鹿だからであって、
            >定期変更自体が駄目なわけではないのに誤解している人多いよね。

            いや、駄目なの。
            なぜなら意味がないことに労力を費やしているから、結局マイナスになる。

            なぜ破られてもいないパスワードを変更する必要があるのか。
            ブルートフォースアタックを気にするのなら、パスワードを変更することでアタック中の文字列付近に変えてしまう可能性をなぜ無視するのか。
            #変えてしまうことでパスワードの判明を早くしてしまう可能性
            それが考えにくいというのなら、同じパスワード強度なら元のままでも十分安全といえる。

            充分な強度のパスワードを設定したら、アクセス監視で本人以外のログインを速やかに察知できる体制にするのが現状の正しいやり方。
            定期的なパスワード変更を「アクセス監視はできないけど定期的に変えてるからそれなりに大丈夫」という言い訳にしてしまうなら、それはさらに悪質になってしまう。

            親コメント
            • by Anonymous Coward

              なぜ破られてもいないパスワードを変更する必要がある

              >パスワード流出時の対応訓練として定期変更が推奨される

              パスワードを変更することでアタック中の文字列付近に変えてしまう可能性

              アタック済みの文字列に変更できた可能性とどちらが高いんですか?

              • by Anonymous Coward

                > アタック済みの文字列に変更できた可能性とどちらが高いんですか?

                先コメで

                > それが考えにくいというのなら、同じパスワード強度なら元のままでも十分安全といえる。

                ここまで書いてもらっていてわからないのなら、口出さない方がいいんじゃないかなぁ

              • by Anonymous Coward

                >>パスワード流出時の対応訓練として定期変更が推奨される
                元記事に書かれていたのかな? 要ログイン部分なのか見当たらなかった。
                とりあえず何を根拠に「対応訓練として定期変更が推奨される」なのかさっぱりわからん。
                その理由も元記事に書いているなら引用よろしく。

                #社内システムにつながったクライアントPCに不正ログインされたら、
                #まず変なウィルスとか仕込まれてないか疑ってネットワークから切り離したうえで
                #端末使用不可にするはずだが。
                #サーバーへのログインなら、パスワード変更とか悠長なことする前にアカウントロックだろう。
                #アカウント上で何が行われ

              • by Anonymous Coward

                >パスワード流出時の対応訓練として定期変更が推奨されるようになるかもしれない。
                は(#3218599)の4行目か。
                ごめんなさい見逃してた。

                で、訓練でも意味は無いなぁという理由は書いた通り。
                侵入された時の対処として、ユーザーが操作する出番はほとんどないから。

      • by Anonymous Coward

        「スペルや文法を間違えなければ」という制限がつきますが。
        そこが日本人には辛い気が。

        フレーズ入力するつもりでならローマ字入力もアリだと思うけど、その場合はパスワードの
        文字烈長が事実上半分になるので、最初から倍以上の長さ(たとえば最大で50~100文字とか。)の
        パスワードが受け付けられるようになってないと厳しいでしょうね。

        • by nemui4 (20313) on 2017年05月29日 10時50分 (#3218642) 日記

          >「スペルや文法を間違えなければ」という制限がつきますが。

          ヘボン式やら色々在るのでローマ字もあやういね。
          かといってにバイトコードをパスワードに使うのはさらにチャレンジャーでしょうし。

          パスフレーズ設定時は三回(以上)同じのを入力して間違い長いことを確認するのかな。
          #それもまためんどくさそう・・・

          人という不確かなデバイスが入る限り難しそう。

          親コメント
        • by Anonymous Coward

          スペルや文法を間違えていても、再現性があれば構わないのでは。
          パスワードなんだし。
          #むしろスペルや文法が間違ってる方が辞書的に強そう。

          • by Anonymous Coward

            設定時に誤った確信のもとで間違った単語を使っていて、後で「あのパスワード何だったっけ~確かこういう意味合いの~辞書辞書」ってなる落とし穴が
            // 個人的にはスペルよりも前置詞の使い分けの方がネックだな…

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...