『パスワードの定期的変更について徳丸さんに聞いてみた(1)』(徳丸浩の日記)，高橋: サイト側で対策を取っていない場合、パスワードの定期的変更は意味がありませんか? 徳丸: それが、意味がないのですよ。パスワードを定期的に変更すべしという人の中には、パスワードを変更すると「ひらりと」パスワード攻撃を避けることができるという人がいますが、それは違います。 高橋: 違うのですか? 徳丸: はい。攻撃側も防御側も相手の手の内がわからない状態なので、「たまたま攻撃をかわせる」可能性もあれば、「パスワードを変更したら、たまたま攻撃に掛かってしまう」場合もあります。闇夜にむやみやたらに鉄砲を撃ってくるのを避ける状況を想像してみて下さい。むやみによけても、よけた先で弾に当たるかもしれません。 (snip) 高橋: パスワードリスト攻撃はどうでしょうか? 徳丸: パスワードリスト攻撃に対しては、他のサイトとは別のパスワードをつけることが必要十分な対策で、パスワードを定期的に変更する必要はありません。 (snip) 徳丸: パスワードの桁数を増やすことです。パスワードを1桁増やすとパスワードのパターン数は60倍～90倍程度になりますから、8桁のパスワードではなく12桁のパスワードを使うようにすれば、ハッシュの解読の時間は1千万倍以上掛かります。

『「全てのインターネットサービスで異なるパスワードを！」 ～ 多くのパスワードを安全に管理するための具体策 ～』(情報処理推進機構)，このような攻撃が成立する背景として、“同じパスワードを様々なインターネットサービスで使い回す利用者が多い”ということが挙げられます。パスワードリスト攻撃はこの状況に目を付けた攻撃手法と言えます。 (snip) しかし「パスワードを使い回ししないように」と言われても、覚え切れないパスワードを実際にどうしたらいいか分からない利用者も多いのではないでしょうか。 今回の呼びかけでは、多くのパスワードを安全に管理した上で、個人の利用者がパスワードの使い回しを避ける具体的な方法について説明します。

『OCN IDの状況確認』(OCN)，お客さま番号とメールアドレスを入力すると、不正ログインによる外部流出の対象か対象ではないか確認いただけます。 (snip) ※2013年7月26日06時09分以降にパスワードを変更された場合は今回確認の必要はございません。 確認して該当と表示された場合も、再度のパスワード変更は必須ではございません。確認したら外部流出の対象で，かつ，2013年7月26日06時09分以降にパスワードを変更していない1ので，再度，パスワードを変更した… 変更したのは7月25日． ↩︎

『言語学の教室 — 哲学者と学ぶ認知言語学』(西村 義樹・野矢 茂樹. 中央公論新社, 2013)を購入した…

今年も庭のカノコユリが咲いた…