パスワードの定期的変更はパスワードリスト攻撃対策として有効か

パスワードリスト攻撃の対策として、パスワードの定期的変更に意味があるのかという議論があります。私は（利用者側施策としては）実質意味がないと思っていますが、まったく意味がないというわけでもありません。 このエントリでは、パスワードの定期的変更がパスワードリスト攻撃に対してどの程度有効かを検討してみます。 前提条件 パスワードリスト攻撃を以下のように定義します。 別のサイトから漏洩したアカウント情報（ログインIDとパスワードの組み合わせ）の一覧表（パスワードリスト）があり、そのログインIDとパスワードの組をそのまま、攻撃対象に対してログイン試行する攻撃 パスワードの定期的変更の一例として以下の条件を前提とします 利用者は、すべてのサイトのパスワードを90日毎に変更する 利用者はすべてのサイトで同じログインIDを用いている 変更後のパスワードはすべてのサイトで同じとする ※ サイト毎にパスワード

[uturi]

全く変えないよりマシだから管理者側がユーザに強制させるってことかな。もういっそのこと全てのサイトをFacebookアカウントでログイン出来るようにして、Facebookのパスワードを定期的に変更すれば！

[lli]

OpenIDとかOAuthとかも漏れたら一緒だしなぁ。信頼してる分、被害も大きいし。

[kno]

1234が2345になってもあんまり意味ないよな…とは思ってたけど

[migrant777]

OpenIDで統一されりゃ覚えるの1個で済むんだがなぁ。

[AmaiSaeta]

実際には「90日毎変更」ってかなり「有り得ない」条件よな。それでも効果薄いんだから、現実では…… | 追記で触れられている「ユニークなパスワードは強制出来ないが、定期的変更は強制出来る」ってのは、なるほど。

[nilab]

パスワードの定期的変更はパスワードリスト攻撃対策として有効か | 徳丸浩の日記

[raimon49]

前提条件で吹く

[mas-higa]

"「パスワードの有効期間設定」は、利用者の負担が大きく、かつ効果が限定的である"

[setagayatagayase]

徳丸浩の日記: パスワードの定期的変更はパスワードリスト攻撃対策として有効か

[kits]

「『パスワードの有効期間設定』は、利用者の負担が大きく、かつ効果が限定的であるという点で、よくない施策であると考えます」

[cubed-l]

「サイト毎に異なるパスワード」が当たり前になればいいんだけど、難しいかなぁ。妻はKeepass教えたら使いこなしてるけど、それは俺がいつでも質問に答えられるからかもしれないし

[lanius]

「管理者側は違うパスワードは強制できないけど、定期変更は強制できる」。

[mztns]

”サイト毎に異なる〜”の現実的な方法って、パスワード管理ソフトか生成ルールを決める、だと思うけど、これらが一般に普及してる未来って想像できないので、もっと根本的な解決方法がないと無理なんだろうな。

[klim0824]

"管理者側は違うパスワードは強制できないけど、定期変更は強制できる" "「パスワードの有効期間設定」は、利用者の負担が大きく、かつ効果が限定的であるという点で、よくない施策であると考えます"

[giulia_gt]

えー？パスワードの定期的変更って使い回し容認が前提の話だったの？ちょっとリテラシー低いような。

[diveintounlimit]

昔からIDとパスワードを入力して認証するのは変わらないし、昔からクレジットカードの認証番号が数字4桁なのも変わらないんだよなぁと、何となく。

[toshikaz55]

「どうせパスワードを変更するのであれば、そのタイミングで、サイト毎に異なるパスワードを設定すればいいじゃないか」 "パスワードの定期的変更はパスワードリスト攻撃対策として有効か | 徳丸浩の日記"

[JULY]

アカウントが漏れたサイトと悪用されたサイトが同じケースは前提条件で除外しているところを、武田先生が問題にしそうと思っていたら、その通りになった。

[kijtra]

もうサイト側が強制的にパスワード設定して「今日のパスワードです」って毎日メールしたらw

[nakakzs]

パスワードを変更するってことは、ハックする側に解きやすいパスワードに変更するという危険性も存在するのだよね。ソーシャルハック的に解きやすい奴に変更させることは出来ると思う。

[masahiroy]

1Password一択。

[mib-dbsinfra]

本当に。 > 「パスワードの有効期間設定」は、利用者の負担が大きく、かつ効果が限定的であるという点で、よくない施策であると考えます。

[blueboy]

それより twitter などの無料アカウントではわざと簡単なパスワードを使って、プロバイダなどの有料アカウントでは難解なパスワードを使う方がいい。これなら非共通だから後者は安全。前者は盗まれても被害が少ない。

[kasumani]

パスワードの定期的変更はパスワードリスト攻撃対策として有効か パスワードリスト攻撃の対策として、パスワードの定期的変更に意味があるのかという議論があります。私は（利用者側施策としては）実質意味がないと

[diet55]

徳丸浩の日記: パスワードの定期的変更はパスワードリスト攻撃対策として有効か 「この点、「パスワードの有効期間設定」は、利用者の負担が大きく、かつ効果が限定的であるという点で、よくない施策であると考えます

[aodifaud09]

正しくてぐうの音も出ない。変更のお願いや強制が世の中からなくなりますように。

[nakex1]

パスワードを使い回すような人は全部のサイトのパスワードを一斉に変更するほど几帳面ではないと思う。「うるさい」サイトだけ仕方なく変える。結果としてサイトごとにパスワードを使い分ける状況に近づく。

[IGA-OS]

同意。パスワードの有効期間設定を推奨してたのか・・・

[htnmiki]

パスワード不要の時代はまだですかね

[houyhnhm]

OAuthはサイト毎の漏洩になるんじゃなかったっけ(発行元からの漏洩でなければ)。／この前、まどか☆マギカオンラインからメール来てたけど、前のPCにパスワード置き忘れてたので身悶えする。退会してー。

[peketamin]

“どうせパスワードを変更するのであれば、そのタイミングで、サイト毎に異なるパスワードを設定すればいいじゃないかと思うからです”

[daybeforeyesterday]

うーむ

[rindenlab]

"定期的変更では、「運が良ければ防げるが、防げない可能性も高い」という性質のものなので、利用者側の立場としてのパスワードリスト攻撃対策は以下の一点でよいと考えます。サイト毎に異なるパスワードを設定する"