はてなブックマーク - 「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答

「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 - ockeghem(徳丸浩)の日記

d:id:ockeghem

タグ : security セキュリティパスワード password 徳丸浩システム管理技術 passwd うなずき考え方

コンピュータ・IT 117 users

昨日Webサイトを守るためのセキュリティ講習会の講師を担当しました。講習会の終了後、受講生から「管理者パスワードの定期的変更」に関する質問がありました。備忘の為、質疑内容を以下に記録します。 Q1:上位ポリシーにて、管理者パスワードは定期的に変更するように義務づけられているが、何日毎に変更するのが正しいのか。最近の専門家の見解をお伺いしたい A1:専門家の見解は分かれているとお答えしました現在の主流はパスワードを定期的に変更するべしという考え方ですが、それに異論を持つ人もいて、私もその一人です。一般ユーザ... > このページを見る

最終更新時間: 2012年02月01日08時39分

▼ブログで紹介する

このエントリーに含まれている商品

体系的に学ぶ安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践

体系的に学ぶ安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践
徳丸浩
￥ 3,360
在庫あり。 (2011/09/17 17:10 時点) 価格表示について
価格は、記載された日付／時刻の時点において正確です。価格は変更される場合があります。購入時にAmazonウェブサイトに表示されている価格が、その商品の販売に適用されます。
- 出版社/メーカー:ソフトバンククリエイティブ(大型本)
- 発売日:2011/03/03
- Amazon.co.jp 商品ランキング:1,257 位

みんなのブックマーク人気（3）新着

nilnil セキュリティ, パスワード
パスワードの定期的変更に有効性があると仮定した場合、その頻度は想定システム環境、想定脅威とその動向、技術/運用的制約から設計して導出すべきで、無思慮に相場で判断すべきではないと思う(記事内容に異存はない) 2012/02/01
n2s security, パスワード
あとsudo。確かにこれは便利。 2012/02/01
tsupo security, password
「定期的に変更」するのではなく、管理者パスワードを知っている人が、他業務に異動、あるいは退職するタイミングで遅滞なく変更するべきです 2012/02/04

tatsunop security, web, 考察
言われてみればその通りだよなぁ。 2012/03/15
passingloop security
システム管理者から外れた人がパスワードを知っている状態を作らないようにパスワードを変更するというポリシーは同意見 2012/02/29
kamataro security
"「定期的に変更」するのではなく、管理者パスワードを知っている人が、他業務に異動、あるいは退職するタイミングで遅滞なく変更するべき" 2012/02/13
sheeta0108 セキュリティ
『... 他業務に異動、あるいは退職するタイミングで遅滞なく変更するべきです。そうしないと、「管理者でなくなった人が管理者パスワードを知っている」という状況が起きます。』 2012/02/13
nodasouri パスワード, セキュリティ, システム管理
Winの場合Ophcrackとかあるからハッシュ化されるかどうかが重要だろ？ 2012/02/05
mikage014 システム, セキュリティ
まずは管理者パスワードがいつか変更されることを念頭に置いてインフラを設計する必要がありますね（関係者への伝達の仕方とか 2012/02/05
tsupo security, password
「定期的に変更」するのではなく、管理者パスワードを知っている人が、他業務に異動、あるいは退職するタイミングで遅滞なく変更するべきです 2012/02/04
fedelini
管理者パスワードの変更タイミング。管理者パスワードは、業務の必要上複数の人が知っている状況があります。管理者だけが知っていること。管理者でなくなった人は管理者パスワードを知らないこと。 2012/02/03
takehikom セキュリティ
『「定期的に変更」するのではなく、管理者パスワードを知っている人が、他業務に異動、あるいは退職するタイミングで遅滞なく変更するべきです』 2012/02/02
afsuke セキュリティ, 考え方
sudo運用は粋だね! 2012/02/02
nilnil セキュリティ, パスワード
パスワードの定期的変更に有効性があると仮定した場合、その頻度は想定システム環境、想定脅威とその動向、技術/運用的制約から設計して導出すべきで、無思慮に相場で判断すべきではないと思う(記事内容に異存はない) 2012/02/01
security_check blog, password
「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 - ockeghem(徳丸浩)の日記 2012/02/01
rhosoi
sudo管理するならubuntuみたくrootはロックしちゃうのが良い(´∀｀) 共有パスワードなんていくら頑張ってもねぇ・・・ 2012/02/01
tt4cs Security
外銀などでは管理者パスワードは使用のつど変更 (Aさんが前半部分を変更; Bさんが後半部分を変更) して, それぞれ別々に金庫にしまっておく, なんていう運用もありますね. 2012/02/01
otchy210
ごもっとも。sudo が標準で、root のパスは、知っている人が異動/退社したら即変更ってのがベストプラクティスだと思う。 2012/02/011 RT
1 RT
- @enuswinslow パス知ってる人が退社して連絡取れなくて完全初期化になった客思い出した RT @otchy: sudo が標準で、rootのパスは知っている人が異動退社したら即変更がベスト / 管理者パスは何日ごとに変更すればよいかockeghemの日記” http://t.co/dlwLqm1A
mumincacao
今まさにその変更するたいみんぐで root 権限共有で使ってたのをしすてむ的に可能なのは個別に分割することしてるからたいむりー過ぎるにう・・・（・ｘ【みかん 2012/02/01
YaSuYuKi security
日常における、root権限の必要な操作はすべてsudoで行えるようにするのがよいが、rootのパスワードは、安全上、知っている人が複数存在するか、システムの外に記録する必要があるから、定期的な変更は必須だな 2012/02/01
kokorohamoe
管理者パスワードの意味がわからなかった。そもそもRootなんて教えない。SUDO必須。公開鍵証明書必須でいいのでは。なぜ管理者？もしかして、固有アカウントに、固有パスワードをシェアとかしてないよね？ 2012/02/01
tetzl security, system, IT
定期的な変更とか、○回前までのパスワード不可、っていうのは結局外向けの理由というか、「こういう規則でやっています」というためだけの気がするんだよなー 2012/02/01
wasai 徳丸浩, セキュリティ, パスワード
パスワードポリシーのところは運用で非常に参考になります。 2012/02/01