スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

2月24日のtwitterセキュリティクラスタ

またまたパスワードの定期的更新の話です。あまりログインしない銀行のサイトってログインするたびにパスワード変えろって通知が出るのでうざいですよね。
HiromitsuTakagi:今どきこれはない……。 「1.緊急に行うべき対応策・ログインパスワードの定期的更新を義務付け、一定期間にわたって更新されない端末は接続を切断すること。」

ockeghem:自民党の「情報セキュリティに関する提言」は、策定メンバーに関する記述はないようですが、そういうものなのですか? セキュリティの専門家は監修しているのですかね。

ockeghem:まず、基本的な認識あわせとして、パスワードの定期的変更は、パスワードの漏洩があり得るという想定で、漏洩後に被害を受ける期間を短くすることだよね。三ヶ月毎に変更すると、攻撃者がパスワードを知っている期間は最長でも三ヶ月になる、と

ockeghem:衆議院のID、パスワード漏洩を教訓として、と明示されているので、想定脅威は、マルウェア感染と、マルウェア経由でのID・パスワード(ハッシュ)情報の漏洩。これらを受容しているとは言わないまでも、「想定しなければならない脅威」と考えているわけね。これ自体はアリだとは思う

ockeghem:しかし、マルウェア経由でパスワードハッシュが漏れたのであれば、パスワードを仮に毎日変更しても、攻撃者はマルウェアからいつでもパスワード情報を取得できるので、マルウェアを駆除しない限り、パスワードの定期的変更は意味をなさない

ockeghem:マルウェアを駆除できるのであれば、そのタイミングでパスワードを変更すればよいだけのこと。やはり、「定期的な変更」は運用負荷が高いだけで、実効的な意味はない。しかも、「定期的変更」作業を秘書など第三者にやらせがちで、間接的に、別の脅威の原因にもなり得ます

flat_ff:@ockeghem パスワードの漏洩源が、総当たりしか念頭にないんでしょうかね?

ockeghem:@flat_ff 外部からリモートログインできるとは思えないので、総当たりは関係ないと思うのですがね。そのあたり何も考えずに、自称セキュリティ通みたいな人が書いたのですかね。脅威のシナリオは複数考えるべきだとは思いますが…

flat_ff:@ockeghem セキュリティ担当者あるいは資料が古いのかもと思いました。最近の事情は拾われてないのかも、と。どっちにしろまずいですよね。

ockeghem:@flat_ff そうですね。どういう根拠でその提言に至ったかを知りたいです


その他に気になったことはこのあたり。
FSECUREBLOG:デジタル活動家が検閲不可能なネットワークを構築:  Scientific Americanの3月号に、企業や政府のインターネット管理を回避するための、デジタル活動家による試みに関する興味深い記事を掲載している。現在の目標は... http://bit.ly/zZEjdZ


hasegawayosuke:SECCON CTF 競技コンテスト開催!: 【第1回SECCON CTF福岡大会】の関連リンク集


internet_watch:マルウェア「DNSChanger」感染PCはネット接続不可能に、US-CERTが注意喚起 http://bit.ly/z5KdW3


piyokango:“大金稼ぎのモバイルボットネット「Android.Bmaster」 - 世界のセキュリティ・ラボから:ITpro” http://htn.to/dT9ZTd
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。