blog.鶯梭庵

二〇一八年 弥生 卅一日 土曜日

パスワードについてのあなたの常識はもはや非常識かもしれない・その1 [/links]

日本経済新聞の電子版に「パスワード『頻繁に変更はNG』 総務省が方針転換」という記事が掲載されたことが話題になっている。その記事によると、パスワードは定期的に変更すべしという「従来の"常識"」を総務省が否定したという。

しかし、セキュリティ業界ではとっくの昔に、パスワードを定期的に変更するべきでないというのが「常識」になっている。件の総務省のページでも、2017年に米国国立標準技術研究所(NIST)や日本の内閣サイバーセキュリティセンター(NISC)から、パスワードを定期的に変更すべきでないという旨が示されたと指摘されている。

そもそもパスワードというものは、他人に推測されてはいけない一方で、本人が忘れてもいけない。そのような矛盾する条件を満たすパスワードを考え出すのも覚えておくのも、ユーザーにとって負担が大きい。加えて、1つのパスワードを複数のシステムで使い回すのは極めて危険なので、システムごとに異なるパスワードを使わなければならない。ましてそれを定期的に変更しろなどと言われたら、普通の人は、覚えやすいが他人に推測されやすいパスワードを使うか、パスワードを紙に書く。どちらにせよ、かえって安全性が損なわれる。

もちろん、サーバーが攻撃を受けたりしてパスワードが漏れた可能性がある場合は、速やかにパスワードを変えなければならない。しかし、何もないのに定期的にパスワードの変更を要求することは、害のほうが大きい。推測されにくいが覚えやすいパスワードを1度だけ考えて、それをずっと使うのがよい。

その2に続く。

さんのコメント:

・HTMLタグは使えません。

・電子メールアドレスを含めないでください。

・コメントには全角文字を含めて下さい。

・長さの上限はおよそ800字です。

[この記事だけを読む。] [このカテゴリをまとめて読む。] [最新の記事を読む。]

羽鳥 公士郎