OCN、パスワード定期的変更しない利用者、ログイン制限へ

112
awamori @awamori_tt

OCNから利用者宛てに「メールサービスのパスワードを定期変更しないと一定期間、接続制限するぞ」というメールが来た

2014-11-12 13:40:56
しの @SH1N0

OCNメールアドレス(OCN ID)のパスワード変更のお願いについて ocn.ne.jp/info/announce/… とうとうパスワードを定期変更しないとサービスを使わせないって所が出てきた。

2014-11-12 16:17:29
リンク www.ocn.ne.jp OCNメールアドレス(OCN ID)のパスワード変更のお願いについて | OCN キーワードを使用したこのページの内容を表す文章
野中栄一 @a1nonaka

せっかくパスワードの使い回しをしない方法で管理しているのに、パスワード定期変更しないとログイン制限とかやめて頂きたい。OCNメールアドレス(OCN ID)のパスワード変更のお願いについて | OCN #OCN ocn.ne.jp/info/announce/…

2014-11-13 00:09:33
21century.po @21century_po

ocn.ne.jp/info/announce/… OCNメールのパスワード定期変更が義務付けられた件ですが、そんなことより無暗号POP/SMTP AUTHがいまだに廃止されていない点で(´・ω)これ今でも使ってる人いそうですよね ocn.ne.jp/info/announce/…

2014-11-13 19:17:21
徳丸 浩 @ockeghem

OCNさん、メールアドレスのパスワードは定期的に変更するようにとのことだけど、インターネット接続用のパスワードは定期的変更を求めないのだろうか?

2014-11-14 12:46:41
zcam @zcam

OCNからパスワード定期的に変更しろ、さもなければログイン制限だ。という脅迫めいたメールが届いたんだけどこれマジ?

2014-11-18 13:34:27
zcam @zcam

昨日の、OCNから一定期間でパスワード変えないとログイン制限かけるよ?に質問して回答が来た。Q: 一定期間ってどのぐらい? A: 現時点では未定。決まったらアナウンスする。 なお一般的に1〜3ヶ月が目安。お客様の判断で。

2014-11-19 23:02:28
zcam @zcam

続き、Q: OCNでは一定期間で破られるって意味なの? A:漏洩の事実はないが、被害の未然防止のため。 パスワード定期的に変えると未然防止出来るの??

2014-11-19 23:03:10
zcam @zcam

ということで追加の質問。定期変更で被害が未然に防げる仕組みを教えてください。あと一般論では無くて、システムを運用しているOCNの妥当とする期間をお答えください。

2014-11-19 23:15:52
zcam @zcam

OCNから2日待って回答。さらなる安全のため定期的な変更をお願いしています。あれー?パスワードを定期的に変えても安全性増さない気がするんだけど上がる仕組みって何ですか?って聞いたのに答えになってない。質問に対する答えになってませんと返すべきかな。

2014-11-21 19:05:01
zcam @zcam

期間については回答が得られてた。前回は一般論で1〜3ヶ月で変更今回は6ヶ月を予定しているとのこと。ただし適宜変更されることがある。

2014-11-21 19:09:40
zcam @zcam

再質問。なんで定期変更が有効なのか教えてね(意訳)

2014-11-21 19:17:04
赤木智弘@大阪万博セルフ出禁 @T_akagi

定期的にパスワード変えろってのは、ただの根性論であることに、気づいた方がいい。:OCNメールアドレス(OCN ID)のパスワード変更のお願いについて | OCN ocn.ne.jp/info/announce/…

2014-11-23 18:50:44
zcam @zcam

RTとFav受けてますので、OCNの件一応現状報告。答えになってなかったので再質問したが、担当部署確認中で回答は25日以降になるとのこと。日頃はケンタがあんまり美味しくなかったとかわりとどうでも良い事しか呟いてませんので、OCN関連追ってる人は火曜以降にご確認ください。

2014-11-23 18:53:45
zcam @zcam

今日もOCNから返答無し。25日以降って言われたから間違いでは無いんだけど、来月に持ち越すなら今月中には答えられないぐらいの通知ほしかったな。

2014-11-28 19:30:46
zcam @zcam

と思ったらOCNから返事来た。華金のこの時間までお仕事なのね、お疲れ様です。

2014-11-28 20:08:33
zcam @zcam

さて、内容ですが要約すると、セキュリティ知識が豊富な客が居る一方で、パスワード一度も変更していない人、推測しやすい簡単なパスワードを設定してる人もいる。だからOCN ID利用者全員にお願いメールを出した。ということだそうだ。

2014-11-28 20:10:40
zcam @zcam

推測しやすいパスワードにしている人に定期変更させて推測しにくいパスワードになるのか?という疑問。一度も変更してない人はOCN加入時にランダムに設定された文字列だろうからかえって安全なのでは?という疑問。

2014-11-28 20:13:59
zcam @zcam

それらに対応する(対応になってない気がするが)ために、全ユーザにパスワードの定期変更を要求するのか?という疑問。

2014-11-28 20:15:23
zcam @zcam

余談。「お客様のようにセキュリティ知識が豊富な人とおだてられたが、セキュリティは専門外(情報処理技術者試験のために勉強した程度)。素人でも疑問に思う程度なので専門家はぶち切れるレベルかもしれない。それはRTやFavくれた方々にお任せ。

2014-11-28 20:23:13
zcam @zcam

とりあえず、先ほどあげた疑問を質問しておこう。

2014-11-28 20:26:45
zcam @zcam

再質問しました。結局OCNは一部の使い回しユーザ等に対応するために全ユーザに定期変更を迫るの?「定期的」に変える事に意味無いと思うんだけどどうなの?強度に制限つけて1発変えさせるだけの方がまだ現実的じゃ無い?程度の事を聞いてます。おそらく返信は来月まで無いと思います。

2014-11-28 20:46:59
zcam @zcam

OCNからの回答。Q:結局パスワード強度が十分で無い人に対応するためだけに全ユーザに定期変更を強制するの? A: その認識であってる。時期は確定していないがOCNログイン制限も実施前回の質問で6ヶ月後ぐらいを予定と言っていた

2014-12-03 21:16:30
zcam @zcam

続き。 Q: 「定期変更」はセキュリティ強化に繋がらないのでは? A: 定期変更で強度の低いパスワードが使われ続ける事を防げる。他社漏洩時に被害の危険性がいくらかでも減るので意味がある。

2014-12-03 21:19:08
1 次へ
まとめたひと
Hiromitsu Takagi @HiromitsuTakagi

自宅研究員

あわせて読みたい