パスワードの定期変更すべき根拠 - SecuDiary
ockeghemさんのパスワードの定期変更は「神話」なのか?を読んで思ったことを書いてみます。 全体的にパスワードに対する攻撃に対してパスワードを定期的に変更することは効果があまりない。という書き方をされているように感じました。 ブルートフォース攻撃や辞書攻撃に対しては大して意味がないかもしれませんが、パスワードを盗聴されたり、漏洩などで流出した場合についてはパスワードの定期的な変更によって防ぐことが出来る場合があるので意味があると思います。 システムアカウントにしても、アプリケーションのユーザIDにしても、必要なユーザの数だけ登録しますが、実際用意した分全部が常に使われているかというと、そうでもないことが多いと思います。 セキュリティ上で、使われていない休眠アカウントをいつまでも使える状態にしておくことは良くないので、90日ごとにパスワードを変更しないユーザ(あまりシステムを利用しないユ
コメント masa (2008/02/29 18:31) - パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記
ITProの記事が契機となって、PCIDSS(PCIデータセキュリティ規準)およびパスワードに関する規定が話題となっている*1。 「パスワードは90日ごとの変更」が義務づけられる!? | 日経 xTECH(クロステック) それに対して,PCIDSSは表現が具体的である。現在のバージョン1.1ではパスワードについて下記のような規定がある。 ■要件8.5.8 グループ、共有または汎用のアカウントとパスワードを使用しないこと。 ■要件8.5.9 ユーザー・パスワードは少なくとも90日ごとに変更する。 http://itpro.nikkeibp.co.jp/article/OPINION/20080220/294287/ このうち、要件8.5.9「ユーザー・パスワードは少なくとも90日ごとに変更する」に関して疑問を持った。これはいわゆる「セキュリティの常識」という奴の一つではあるが、実際のところ、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
