理由はISMSの認可を得るため。(だったハズ)
ではこれにセキュリティ上のメリットはあるのか。
そんな検証を試みてるエントリーがあったのでメモ。
- 続パスワードの定期変更は神話なのか - ockeghem(徳丸浩)の日記
http://d.hatena.ne.jp/ockeghem/20101209/p1
1年間でパスワードが破られるという条件(1年で全てのパスワードのパターンを試行できる)下で、パスワードを半年に1度、あるいは3ヶ月に1度変更すると、パスワードはどの程度「破られにくく」なるのか計算で求めてみよう。で、半年に一度変更したらどれぐらいの確率で看破されるのかか、3ヶ月に一度変更したらどうなるのか、ワンタイムにしたらどうなるのか、と確率を計算。
その結論
パスワードの定期変更が必要という主張は、いったん疑った方がよいだろう。意味がある場合もあるが、それは特殊なケースだけだ。
じゃあ一体誰が定期的にパスワードを変更しましょうって言ったんだよ。。
0 件のコメント:
コメントを投稿