2017年08月29日
長く複雑なパスワードや定期的な変更が無意味なんて言っていいの?
これまで、パスワードは長く複雑なものにすべき、定期的に変更すべきと言われてきたのに、このところネットやテレビで、それが間違いだった無意味だと言う人たちが出てきて、困惑している人も多いのではないでしょうか。
でも、こういった意見は「間違いだった無意味だ」という部分だけでなく、その前後を落ち着いてしっかり読み・聞くことが大切です。
その上で、米政府が言おうと、Googleが言おうと、惑わされず自分自身の判断でどうするか考えてみてほしいと思います。
パスワードを定期的に変更したほうがいいという考えが出てきた背景には、ID・パスワードの流出があります。
ID・パスワードを保存しているサーバーがハッキングされた、その会社の社員がファイル交換ソフトを使用した、サーバーの設定を間違って外部から閲覧可能な状態にしていたなど、いろいろありました。
このようなID・パスワードの流出は、サービス提供者側の責任であって利用者側の責任ではないので、それによる利用者の被害は、サービス提供者側が保証しろということになります。
サービス提供者側もそういった状況になるのは困るので、セキュリティーを強化し、社員教育を徹底して対策しますが、リスクはゼロにはなりません。
もしそれでもID・パスワードの流出が起きたら、そのときに利用者の被害を最小限に留めるために、パスワードの定期的な変更を、利用者にお願いしているというのが現状です。
ID・パスワードが流出してから悪用されるまでの間に、パスワードを変更した利用者は被害を受けないで済むので、被害を減らせるということです。
こういった現状の中で、ID・パスワードが流出して利用者が被害を受けたとしたら、その補償を流出させてしまったサービス提供者側に要求したいところですが、「パスワードの定期的な変更のお願い」を聞かなかった利用者の落ち度ということも問われ、補償されないということもあるかもしれません。
実際の裁判などでどのような結果になるか分かりませんが、そもそもそういったトラブルに巻き込まれない可能性を高めるためにも、定期的なパスワード変更は有効だと考えられます。
定期的なパスワードの変更が無意味あるいはかえって危険とする意見には、「変更するのが面倒なので安易なパスワードを使用することになるから」という前提があります。
安易なパスワードというのは、前回のパスワードの末尾だけ変えるなど、パスワードを悪用しようとするものに見破られやすいものです。
ならば、安易なパスワードではないものに変更するのであれば、その前提は崩れ、定期的なパスワードの変更は意味があり、危険ではないということになります。
長く複雑なパスワードというのは、今のWindows Server のログインパスワードのように、8 文字以上で、文字・数字・記号の組み合わせが必要といったようなものです。
例えば「Password」とか「admin」とかでは簡単に破られて意味がないということもありますが、長く複雑にすることは、パスワードを解析するコンピュータープログラムに対して破られない、あるいは破るのに時間がかかるということに意味があります。
破るのに時間が掛かれば、破ろうとする者は、破ることを諦める可能性が出てきます。
もともとこういったパスワードを推奨していたパスワードの専門家が「誤りを認め、後悔している」と言ったことが話題になっていますが、誤りではなく、後悔する必要もないと、私は思います。
これも定期的なパスワード変更と同じように前提があって、複雑なものにするために「Password」を「paSSworD」や「password00」にしたり安易なパスワードを使用する人がいるということがあります。
同じことを書きますが、
ならば、安易なパスワードではないものに変更するのであれば、その前提は崩れ、定期的なパスワードの変更は意味があり、危険ではないということになります。
最近見かけるパスワード周りの工夫には、以下のようなものがあります。
・定期的に変更する
・パスワードを長く複雑にする
・ワンタイムパスワード
・パズル認証
・画像認証
・生体認証
・秘密の答え
それぞれが有効ですが、100%万全ではありません。
完璧とも思える生体認証でも、虹彩認証や網膜スキャンは目玉をくり抜いて破ることができます。
というのは冗談で、何かの映画でみた話ですが、まあ100%ではないです。たぶん。
100%完全ではないから、意味がない・有効ではないのではなく、どの方法も悪用を防ぐことができる可能性があるという考え方を持つべきです。
ネット上の様々なサービスのログインパスワードは、その生成と管理にパスワード管理ソフトを使うことが有効です。
利用するサービスが増えてくると、有効というより、使うことが必須となってきます。
無料のものだと、
・ ID Manager
・ LastPass(有料のPremiumもあります)
無料だと不安という人は、
パスワード管理ソフトは、大抵のものが文字数・含める文字種を指定すると、ランダムなパスワードを生成してくれる機能をもっています。
その生成したパスワードを管理できるので、定期的なパスワード変更にも、長く複雑なパスワードを使うことも十分にサポートしてくれます。
ログイン画面で自動入力したり、パソコンとスマホ両方で使えたりするものもあるので、それぞれの特長を見て選んでください。
でも、こういった意見は「間違いだった無意味だ」という部分だけでなく、その前後を落ち着いてしっかり読み・聞くことが大切です。
その上で、米政府が言おうと、Googleが言おうと、惑わされず自分自身の判断でどうするか考えてみてほしいと思います。
パスワードを定期的に変更するということ
パスワードを定期的に変更したほうがいいという考えが出てきた背景には、ID・パスワードの流出があります。
ID・パスワードを保存しているサーバーがハッキングされた、その会社の社員がファイル交換ソフトを使用した、サーバーの設定を間違って外部から閲覧可能な状態にしていたなど、いろいろありました。
このようなID・パスワードの流出は、サービス提供者側の責任であって利用者側の責任ではないので、それによる利用者の被害は、サービス提供者側が保証しろということになります。
サービス提供者側もそういった状況になるのは困るので、セキュリティーを強化し、社員教育を徹底して対策しますが、リスクはゼロにはなりません。
もしそれでもID・パスワードの流出が起きたら、そのときに利用者の被害を最小限に留めるために、パスワードの定期的な変更を、利用者にお願いしているというのが現状です。
ID・パスワードが流出してから悪用されるまでの間に、パスワードを変更した利用者は被害を受けないで済むので、被害を減らせるということです。
こういった現状の中で、ID・パスワードが流出して利用者が被害を受けたとしたら、その補償を流出させてしまったサービス提供者側に要求したいところですが、「パスワードの定期的な変更のお願い」を聞かなかった利用者の落ち度ということも問われ、補償されないということもあるかもしれません。
実際の裁判などでどのような結果になるか分かりませんが、そもそもそういったトラブルに巻き込まれない可能性を高めるためにも、定期的なパスワード変更は有効だと考えられます。
定期的なパスワードの変更が無意味あるいはかえって危険とする意見には、「変更するのが面倒なので安易なパスワードを使用することになるから」という前提があります。
安易なパスワードというのは、前回のパスワードの末尾だけ変えるなど、パスワードを悪用しようとするものに見破られやすいものです。
ならば、安易なパスワードではないものに変更するのであれば、その前提は崩れ、定期的なパスワードの変更は意味があり、危険ではないということになります。
長く複雑なパスワードにするということ
長く複雑なパスワードというのは、今のWindows Server のログインパスワードのように、8 文字以上で、文字・数字・記号の組み合わせが必要といったようなものです。
例えば「Password」とか「admin」とかでは簡単に破られて意味がないということもありますが、長く複雑にすることは、パスワードを解析するコンピュータープログラムに対して破られない、あるいは破るのに時間がかかるということに意味があります。
破るのに時間が掛かれば、破ろうとする者は、破ることを諦める可能性が出てきます。
もともとこういったパスワードを推奨していたパスワードの専門家が「誤りを認め、後悔している」と言ったことが話題になっていますが、誤りではなく、後悔する必要もないと、私は思います。
これも定期的なパスワード変更と同じように前提があって、複雑なものにするために「Password」を「paSSworD」や「password00」にしたり安易なパスワードを使用する人がいるということがあります。
同じことを書きますが、
ならば、安易なパスワードではないものに変更するのであれば、その前提は崩れ、定期的なパスワードの変更は意味があり、危険ではないということになります。
それぞれの対策は万能ではない
最近見かけるパスワード周りの工夫には、以下のようなものがあります。
・定期的に変更する
・パスワードを長く複雑にする
・ワンタイムパスワード
・パズル認証
・画像認証
・生体認証
・秘密の答え
それぞれが有効ですが、100%万全ではありません。
完璧とも思える生体認証でも、虹彩認証や網膜スキャンは目玉をくり抜いて破ることができます。
というのは冗談で、何かの映画でみた話ですが、まあ100%ではないです。たぶん。
100%完全ではないから、意味がない・有効ではないのではなく、どの方法も悪用を防ぐことができる可能性があるという考え方を持つべきです。
パスワード管理ソフトを使おう
ネット上の様々なサービスのログインパスワードは、その生成と管理にパスワード管理ソフトを使うことが有効です。
利用するサービスが増えてくると、有効というより、使うことが必須となってきます。
無料のものだと、
・ ID Manager
・ LastPass(有料のPremiumもあります)
無料だと不安という人は、
 | 新品価格 |
 | トレンドマイクロ パスワードマネージャー (最新) | 3年版 | オンラインコード版 新品価格 |
 | 新品価格 |
パスワード管理ソフトは、大抵のものが文字数・含める文字種を指定すると、ランダムなパスワードを生成してくれる機能をもっています。
その生成したパスワードを管理できるので、定期的なパスワード変更にも、長く複雑なパスワードを使うことも十分にサポートしてくれます。
ログイン画面で自動入力したり、パソコンとスマホ両方で使えたりするものもあるので、それぞれの特長を見て選んでください。
 |
この記事へのコメント
コメントを書く
この記事へのトラックバックURL
https://fanblogs.jp/tb/6642032
※言及リンクのないトラックバックは受信されません。
この記事へのトラックバック
