2017年08月29日

長く複雑なパスワードや定期的な変更が無意味なんて言っていいの?

これまで、パスワードは長く複雑なものにすべき、定期的に変更すべきと言われてきたのに、このところネットやテレビで、それが間違いだった無意味だと言う人たちが出てきて、困惑している人も多いのではないでしょうか。

でも、こういった意見は「間違いだった無意味だ」という部分だけでなく、その前後を落ち着いてしっかり読み・聞くことが大切です。

その上で、米政府が言おうと、Googleが言おうと、惑わされず自分自身の判断でどうするか考えてみてほしいと思います。

パスワードを定期的に変更するということ


パスワードを定期的に変更したほうがいいという考えが出てきた背景には、ID・パスワードの流出があります。
ID・パスワードを保存しているサーバーがハッキングされた、その会社の社員がファイル交換ソフトを使用した、サーバーの設定を間違って外部から閲覧可能な状態にしていたなど、いろいろありました。

このようなID・パスワードの流出は、サービス提供者側の責任であって利用者側の責任ではないので、それによる利用者の被害は、サービス提供者側が保証しろということになります。
サービス提供者側もそういった状況になるのは困るので、セキュリティーを強化し、社員教育を徹底して対策しますが、リスクはゼロにはなりません。
もしそれでもID・パスワードの流出が起きたら、そのときに利用者の被害を最小限に留めるために、パスワードの定期的な変更を、利用者にお願いしているというのが現状です。

ID・パスワードが流出してから悪用されるまでの間に、パスワードを変更した利用者は被害を受けないで済むので、被害を減らせるということです。

こういった現状の中で、ID・パスワードが流出して利用者が被害を受けたとしたら、その補償を流出させてしまったサービス提供者側に要求したいところですが、「パスワードの定期的な変更のお願い」を聞かなかった利用者の落ち度ということも問われ、補償されないということもあるかもしれません。

実際の裁判などでどのような結果になるか分かりませんが、そもそもそういったトラブルに巻き込まれない可能性を高めるためにも、定期的なパスワード変更は有効だと考えられます。


定期的なパスワードの変更が無意味あるいはかえって危険とする意見には、「変更するのが面倒なので安易なパスワードを使用することになるから」という前提があります。
安易なパスワードというのは、前回のパスワードの末尾だけ変えるなど、パスワードを悪用しようとするものに見破られやすいものです。
ならば、安易なパスワードではないものに変更するのであれば、その前提は崩れ、定期的なパスワードの変更は意味があり、危険ではないということになります。


長く複雑なパスワードにするということ


長く複雑なパスワードというのは、今のWindows Server のログインパスワードのように、8 文字以上で、文字・数字・記号の組み合わせが必要といったようなものです。
例えば「Password」とか「admin」とかでは簡単に破られて意味がないということもありますが、長く複雑にすることは、パスワードを解析するコンピュータープログラムに対して破られない、あるいは破るのに時間がかかるということに意味があります。
破るのに時間が掛かれば、破ろうとする者は、破ることを諦める可能性が出てきます。

もともとこういったパスワードを推奨していたパスワードの専門家が「誤りを認め、後悔している」と言ったことが話題になっていますが、誤りではなく、後悔する必要もないと、私は思います。

これも定期的なパスワード変更と同じように前提があって、複雑なものにするために「Password」を「paSSworD」や「password00」にしたり安易なパスワードを使用する人がいるということがあります。

同じことを書きますが、
ならば、安易なパスワードではないものに変更するのであれば、その前提は崩れ、定期的なパスワードの変更は意味があり、危険ではないということになります。


それぞれの対策は万能ではない


最近見かけるパスワード周りの工夫には、以下のようなものがあります。

・定期的に変更する
・パスワードを長く複雑にする
・ワンタイムパスワード
・パズル認証
・画像認証
・生体認証
・秘密の答え

それぞれが有効ですが、100%万全ではありません。
完璧とも思える生体認証でも、虹彩認証や網膜スキャンは目玉をくり抜いて破ることができます。
というのは冗談で、何かの映画でみた話ですが、まあ100%ではないです。たぶん。

100%完全ではないから、意味がない・有効ではないのではなく、どの方法も悪用を防ぐことができる可能性があるという考え方を持つべきです。


パスワード管理ソフトを使おう


ネット上の様々なサービスのログインパスワードは、その生成と管理にパスワード管理ソフトを使うことが有効です。
利用するサービスが増えてくると、有効というより、使うことが必須となってきます。

SC17829133030.png

無料のものだと、

・ ID Manager

・ LastPass(有料のPremiumもあります)

無料だと不安という人は、

IDパスワード管理

新品価格
¥2,954から
(2017/8/29 13:07時点)



トレンドマイクロ パスワードマネージャー (最新) | 3年版 | オンラインコード版

新品価格
¥3,900から
(2017/8/29 13:14時点)



マカセル パスワード管理|ダウンロード版

新品価格
¥2,037から
(2017/8/29 13:15時点)




パスワード管理ソフトは、大抵のものが文字数・含める文字種を指定すると、ランダムなパスワードを生成してくれる機能をもっています。
その生成したパスワードを管理できるので、定期的なパスワード変更にも、長く複雑なパスワードを使うことも十分にサポートしてくれます。
ログイン画面で自動入力したり、パソコンとスマホ両方で使えたりするものもあるので、それぞれの特長を見て選んでください。

 

にほんブログ村 IT技術ブログ フリーソフトへブログランキングならblogram
この記事へのコメント
コメントを書く

お名前: 必須項目

メールアドレス:


ホームページアドレス:

コメント: 必須項目

この記事へのトラックバックURL
http://fanblogs.jp/tb/6642032

※言及リンクのないトラックバックは受信されません。

この記事へのトラックバック
ブログ内を検索
ファン
最新記事
カテゴリー
最新コメント
ツイッター
広告設置のお知らせ

当ブログは、Amazonアソシエイト・プログラムの参加者です。
(Amazonアソシエイト・プログラムは、amazon.co.jpを宣伝しリンクすることによってサイトが紹介料を獲得できる手段を提供することを目的に設定されたアフィリエイト宣伝プログラムです)
記事内で使用している画像の一部は、Amazonの商品画像を使用しており、その商品へのリンクになっています。

また、その他のアフィリエイト・サービス・プロバイダなどの広告も表示しています。
当ブログをご覧の際は、cookie を有効にし、Webブラウザの広告ブロック機能を使用しないで、ご覧いただきますようにお願いいたします。

プロフィール
ぽん太親父さんの画像
ぽん太親父
建築関係の小さな事務所で、他に適当な人間がいないことから、コンピューター関連の担当をさせられています。 趣味でけっこう長い間パソコンを使っていますが、ちゃんと勉強していないので、うまくいかなくて冷や汗をかくこともしばしば。
プロフィール