定期的にパスワードが漏れるという前提

システムはパスワードの定期的な変更をユーザーに要求すべきではないというもの。併せて秘密の質問も使用するべきではないとしており、今後のさまざまな認証システムの開発に多大な影響を与えることは確実だ。攻撃を受けた証拠がある場合は例外だと明記されていること、またこの文書そのものが現時点ではまだドラフトであることは留意する必要があるが、このままいくと、パスワードを定期変更を要求されることが過去のものになる日は近そうだ。

DRAFT NIST Special Publication 800-63B(NIST)
https://pages.nist.gov/800-63-3/sp800-63b.html

【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ - INTERNET Watch


攻撃を受けた証拠がある場合は例外

インターネット系のサービスって、攻撃を受けないとは言えないので・・。
証拠が出た時点では、もう遅いって言う話もあるとは思う。

パスワードの変更をお願いしますとかメールでくるときは、なにか被害にあいかけた、周りが被害にあったとかの場合が多いような気がするんですね。

定期的な変更をお願いしてたら、そういうのはバレないけど、
そうじゃなかったら、何かあったんだなぁ?と勘繰られるとかそういうのもありそうには思う。

【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ - INTERNET Watch

定期的に漏れるということで、もう一週するはずw

2016/06/27 12:50

【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ - INTERNET Watch

#パスワードはオワコンヽ(=´▽`=)ノ…漏れるだけで完璧に乗っ取られる恐れのある認証方式は滅びよ

2016/06/27 09:51

人間による人間認証

【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ - INTERNET Watch

以前の会社の情シスが定期変更を強要してウンザリしてた。面倒なので乱数で作って毎回忘れることにした。システムを使いたい時はパスワード忘れたと連絡すればOK。

2016/06/27 13:03

・めったに使わないものほど、パスワードが簡単でないと忘れてしまう
・めったに使わないものほど、被害があっても気づきにくい

この手の問題って、そんなに簡単じゃないような気はするんだけどね。

いろいろ

みんな、定期的なパスワード変更がうざいっていうのだけなんじゃないかなぁ。

・簡単な覚えやすいパスワードに設定する ->そりゃぁダメだろう?
・他のサービスと同じパスワードに設定する ->そりゃぁダメだろう?

じゃぁ、なぜ、定期的にパスワードを変更するときは、類推されやすい手法を使うのはダメじゃないと思うわけ?

まあ、ダメなんだけど、実際問題、無理があるよね?というのはあるとは思う。

無理があるよね?というのを押し通したいだけのために、正しくないことを正しいかのように押してはダメだと思う。

【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ - INTERNET Watch

言いたいことはよく分かるし、そうあるべきだと思うけど、じゃあどう実装するの? そこがないと何の意味もないガイドラインだと思うんだが…。

2016/06/27 13:50

まさに、これだと思う。

スポンサーリンク

コメントを残す

メールアドレスは公開されません。
また、コメント欄には、必ず日本語を含めてください(スパム対策)。