コメント masa (2008/02/29 18:31) - パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記

ITProの記事が契機となって、PCIDSS（PCIデータセキュリティ規準）およびパスワードに関する規定が話題となっている*1。 「パスワードは90日ごとの変更」が義務づけられる！？ | 日経 xTECH（クロステック） それに対して，PCIDSSは表現が具体的である。現在のバージョン1.1ではパスワードについて下記のような規定がある。 ■要件8.5.8 グループ、共有または汎用のアカウントとパスワードを使用しないこと。 ■要件8.5.9 ユーザー・パスワードは少なくとも90日ごとに変更する。 http://itpro.nikkeibp.co.jp/article/OPINION/20080220/294287/ このうち、要件8.5.9「ユーザー・パスワードは少なくとも90日ごとに変更する」に関して疑問を持った。これはいわゆる「セキュリティの常識」という奴の一つではあるが、実際のところ、

[haruten]

定期的なパスワード変更は万が一破られた場合の被害を最小限にするというけど、破られた直後に書き換えられたら対処できないし、そもそも破られなかったら変更する意味ないよね？

[pink_dark]

不要になったアカウントは、情報を編集してロックしてしまうのが安全だな。ECサイトのアカウントなど、当分使わないのであれば、氏名・住所・TEL・カード情報をでたらめなものに変えて「休止」しておくといいだろう。

[masutaka26]

神話だった

[suzuki_kuzilla]

@parfaitorte パスワード定期変更ついてはこの辺かな

[neko73]

パスワードを格納したファイルが有るような運用だと結構大きな意味があったけど、今はあんまり無い？９０日で足きりすることの意味を軽視するのかという意見もあるっぽい。

[ys0000]

パスワードを定期変更しないという話の論拠。

[CyberneticSurvivalNetwork]

「パスワードの定期変更は「神話」なのか?」

[isidai]

パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記:

[honeybe]

「かつてはパスワードを定期変更すべき明確な根拠があったが、現在その根拠は失われている。そして、パスワードの定期変更は『神話』となった」ふむ。

[SavingThrow]

"password定期変更は（特殊な前提でも無い限り）意味ない。破られにくくするため->確率的に効果薄。破られた際の被害を最小化→攻撃者視点で考えると意味なし。桁数・文字種・アカウントロックの強化のほうが効果大。 "

[yoshidako]

かつてはパスワードを定期変更すべき明確な根拠があったが、現在その根拠は失われている。<<確かに！#yam

[kits]

「かつてはパスワードを定期変更すべき明確な根拠があったが、現在その根拠は失われている」

[ebo-c]

ブルートフォース攻撃に対してパスワード変更って確率的にどうなの？って思っていた。

[d6rkaiz]

神話だよなぁ・・・ごく限られた環境とかまた別なんだろうけど。

[Naruhodius]

はっ？

[memo77]

なるほど。うちもこの部分は緩めるかな。

[FTTH]

あの日見たパスワードが～今でも心さまよう　90日間の神話と～ 知っても～～

[gothedistance]

「

[webmarksjp]

セキュリティ

[no_ri]

定期的に変えさせると覚えやすいパスワードの使いまわしになったりする。とはいえかなり極論だ。

[ghostbass]

定期的に変えろといいつつmkpasswdすら提供しない会社を知っている。

[nobeans]

神話神話

[pochi-p]

同意

[blackdragon]

むしろ、打ち間違いが遅くなるし、打つ速度も遅くなるから、害の方が多いんじゃないかと、いつも思っている。

[ftnk]

PCIDSS（PCIデータセキュリティ規準）およびパスワードに関する規定

[raimon49]

非常に論理的。

[stealthinu]

パスワード定期変更は意味ないよ、を広める運動をすべきだな。

[nakex1]

漠然と疑問に思っていたことの答えがここにある

[e493]

なるほどパスワードを変える必然的要件がなくなっている？　のか

[kmachu]

同じようなパスワードを他でも使っていて、そっちから漏れた場合の対処、とか。 書いた → http://www.machu.jp/diary/20080227.html#p01