パスワードの定期的変更について徳丸さんに聞いてみた(1)

高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大きく分けて2つの理由が挙げられていると思います。一つは、パスワードを定期的に変更すると、パスワードを破って侵入する攻撃の予防になるというもの、すなわち事前の予防策です。もう一つは、パスワードが漏洩した際に、被害を軽減できるというもので、事後の緩和策ということですね。 高橋: もう少し詳しくお願いします。 徳丸: まず、「事前」の方ですが、オンライン攻撃とオフライン攻撃があります。 高橋: オンライン攻撃とはどのようなものでしょうか? 徳丸: オンライン攻撃は、ネット経由でパスワード

[stealthinu]

徳丸さんがパスワード定期変更は意味ないよと説明してくれるエントリー！これを多くの会社のシステム部やセキュリティの社内規程を策定してる部署の人達に読んでもらって「常識」になってほしいわあ…

[napsucks]

情シ課長「パスワードの定期変更なんて無意味ですよ」CIO「は？何かあったらお前責任取れんのか？」課長「いえあの・・・わかりました（まあいいか、馬鹿なルール決めても俺の手間じゃねーし）」

[pink_dark]

パスワードの定期変更＋何世代前のパスワードは設定不可っていう仕様だと、どれがどのパスワードだか分からなくなり、ログイン失敗を繰り返してアカウントロックに追い込まれるんだよなあ。

[YaSuYuKi]

最重要なことは、パスワードを使いまわさないことだが、この話題のテーマからはずれる

[tsupo]

注: ここに登場する人物はすべて架空の人物です / 「また上野宣か」で有名な上野さん ← 架空の人物ではない気がするw

[tmatsuu]

１年以上の長いスパンでパスワードを変えようとしてみるのがいいと思う。短いパスワードしか使えなかったサービスもセキュリティに対する認識が変わって8文字以上使えるようになってるかもしれない

[haruten]

闇夜でランダムに撃たれた弾を避けるためにこっちも適当に動くようなもの

[itochan]

高橋さんは架空の人物として、徳丸さんまで架空の人物とは、納得がいかない罠

[watto]

不正アクセス禁止法ってのがあるんだから、怪しげなアクセス仕掛けてくる接続元の情報を記録して法的に反撃できるシステムを考えるべきでは。

[masabossa]

パスワード使い回してない→定期変更は意味ない。複数サービスでパスワード使い回し→サービス側のパスワード管理が様々で知らぬ間に危殆化してるかもだから定期変更の意味は...また次回！→まだ結論はでとらんよ！

[maghrib]

“パスワードの定期的変更について徳丸さんに聞いてみた(2)”

[moerrari]

2013年のエントリ"「事前の予防策」として、オンライン攻撃に対しては「パスワードの定期的変更」は意味がない"

[deep_one]

この内容を見ると「意味がない」という指摘は「信頼できるサーバー監視がある場合」にしか成り立たないと思う。ロックアウト以下の水準で継続される攻撃を発見できるなんて、私はそこまで運営者を信用しない（笑）

[ku__ra__ge]

パスワード定期変更によって得られる効果は、「既に侵入している」攻撃者を締め出すことだ。よって、保存されているデータの盗難や改竄、バックドア設置などに対して、パスワード定期変更はそれを防止できない。

[thayato]

security

[metalpress]

どんな優れたパスワードでもソフトや紙に記録するんじゃ意味ないよね。 ハッシュもどこかで衝突するんじゃないかと。

[oppara]

パスワードの定期的変更について徳丸さんに聞いてみた(1)

[coppieee]

Office 365でデフォルトだと90日でパスワード再設定求められるんだけど、あれ意味ないよな？

[kussun]

twitterが行ってる対策が気になったので、あとで調べる。

[kenichiice]

「既に長くなりましので、「事後の緩和策」としてのパスワード定期的変更と、結局パスワードは定期的に変更しないといけないのかどうかについては、次回に説明することにしましょうか。」

[warriorking]

パスワードの定期的変更について徳丸さんに聞いてみた(1) | 徳丸浩の日記

[hisasann]

MD5、SHA-1、ソルトフィッシュ、ストレッチング

[kanu-orz]

"サイト側で攻撃を検知して遮断などの処置をとってなければ、パスワードの定期的変更は意味がありません"

[Ewigkeit]

パスワードの定期的変更に意味は無いよというお話

[tarchan]

パスワードの定期的変更を強制されて、さらに過去に使用したパスワードは使えないという会社爆発しろ

[cubed-l]

パスワードマネージャ使ってる

[lesamoureuses]

pwの定期的変更を促す（強制する）理由は、そのユーザが同じパスワードで使っていた他のサイトで漏れた時に「強制させているからウチには被害は及ばない」」的な意図なのかなと思ってる。まぁ変えないけど。

[calpo]

mypassword1 と mypassword2 を往復するだけの簡単なお仕事

[yusukem]

パスワード定期変更意味ない論

[amino_acid9]

定期変更（）はせずに、桁数を増やしてアカウント毎に異なるパスワードを設定しましょう講座。金融系で未だに8桁英数字のみのサイトはさっさと改善してほすぃ

[efcl]

パスワードの定期変更についての神話。 ソルトストレッチング

[HolyGrail]

避けた所で弾がどこに飛んでくるかなんて予想はできないので防弾チョッキを着て防弾シールドを身につけてガードしましょう、という話

[kattton]

Ruby on RailsのDeviseというプラグインにハッシュ(bcrypt, etc)もソルトもストレッチも全部入ってるのはそういう理由ですね！（ステマ/そもそもパスワード自体がオワコンという話もあるけど。 http://wired.jp/2013/07/13/hacked-vol8/

[tasogare30]

こんなん常識やろって思って読んでたけど、その常識がそもそも徳丸本から得た知識だった。

[tohokuaiki]

「サービス側で対応してほしい」「定期変更含めユーザー側ができることはあまりない」ということでFA？

[miryu2008]

PCI DSS 2.0 「8.5.9 少なくとも 90 日ごとにユーザパスワードを変更する。」 https://www.pcisecuritystandards.org/pdfs/pci_dss_japanese.pdf

[kosaki]

普通に知らんかったよな RT @nari3:

[lets_skeptic]

adminパスワード的なものは、過去の管理者が入れないように定期変更が良いという話はあるような。

[khtokage]

要約すると、パスワード管理は最低限hash+salt+stretching、記号利用可能にしてせめて12文字まで許可をすること、定期変更はほぼ無意味、という記事。

[kai3desu]

パスワードの定期的変更なんの意味があるんだろと思ってたのでスッキリした