パスワードの定期的変更について徳丸さんに聞いてみた(2)

高橋: こんにちは、高橋です。前回に引き続き、徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: はい。よろしくお願いします。 高橋: 前回は、「オンライン攻撃に対する予防としてパスワードの定期的変更は意味がない」という結論でしたが、今回は、事後の被害軽減策として、パスワードの定期的変更に意味があるか、というテーマですね。 徳丸: はい。その事後の話ですが、2つの話題があります。まず、前回の続きで、パスワードハッシュ値が漏洩してオフライン攻撃で解読されるまでの時間稼ぎとして、パスワードの定期的変更に意味があるか、次に、パスワードそのものが漏れている場合の緩和策として、定期的変更に意味があるかです。 高橋: それでは、まずハッシュ値が漏洩しているケースについてお願いします。 徳丸: はい。まず、前提として「パスワードを3ヶ月毎に変

[rryu]

結論としては、パスワード定期変更が役立つようなシステムは脆弱、ということですね。

[rna]

オフライン攻撃対策はパスワード長くするのが圧倒的、フィッシング対策は2段階認証・リスクベース認証でOK。あるいはログイン履歴の定期確認で。これらの対策に加えてパスワードを定期変更しても無意味。

[tmatsuu]

同意。ログイン履歴確認は正直面倒なので、ログインが発生するたびに必ずメール通知するオプション欲しいよね。前の職場のリモート接続はそうしてた。あれ安心感ある。

[moerrari]

2013年のエントリ"パスワードはできれば12文字以上で、できるだけ長く/2段階認証(強く推奨) #→2段階認証が存在するなら、パスワードの定期変更は屋上屋に過ぎず意味がない #"

[houyhnhm]

お、読み飛ばしてた。

[oppara]

パスワードの定期的変更について徳丸さんに聞いてみた(2)

[bouzuya]

そのにが来てた。

[amino_acid9]

ユーザーがとるべき施策が最後に

[palmyra]

パスワード定期変更の効果は限定的。不正アクセスされたら困るサービスは厳選し、パスワードの桁数を増やす、2段間認証を使うことが重要とのこと。

[lejay4405]

こないだ二段階認証が解けられた！的な記事が上がってたけどhttp://www.landerblue.co.jp/blog/?p=7656 どうなんすかね

[moomindani]

パスワードの定期変更の妥当性が問われる。

[JULY]

そうそう。英数記号のパスワードで、ブルートフォースに必要なパワーが、だった１文字長いだけで 95 倍、２文字で 9025 倍、３文字で 857,375 倍と、非常に大きくなる事を知らない人は多いんだよなぁ。

[takhasegawa]

つまりほとんどの社内システムは定期的にパスワードを変更しろということですね (盗聴・情報漏洩が目的/2段階認証がない/まともに不正アクセス検知をしていない)

[tohokuaiki]

パスワード変更しなくてイイ、2段階認証のサイト以外ではクレジットカード使うなでF.A？

[masabossa]

結局利用者負担は増える。が、パスワードの定期変更を推奨するようなサービス提供は「提供側で対策せず利用者に（定期変更といった）対策を負担させてること」を利用者視点で考えるきっかけになりそうな内容。

[koyhoge]

これで完結編なのかな。サービス提供側から見ると、2段階認証、ログイン履歴などは現時点ではちょっと大変。

[barlog]

前回（Wowza ＞ http://yaythis.me/1bdNqli ）に引き続き徳丸さんに伺います。よろしくお願いします。

[mumincacao]

そいえば Google Account の２段階認証を設定してたのに乗っ取られたとか一時期流行ったけどけっきょくどんな経路なのかの推測すらまだ見たことないなぁ・・・ （ーｘ【みかん

[moondoldo]

パスワード 定期的変更

[raimon49]

三井住友銀行のネットバンキング、パスワードがMAX8桁の英数字なのか…。

[stealthinu]

徳丸さんのパスワード定期変更不要の件とじゃあパスワードの扱いはどうしたらいいかというまとめエントリー。今後は２段階認証は必須かあ…

[ockeghem]

続き書いた