人気ブログランキング | 話題のタグを見る

パスワードの定期的な変更は実は危険

みなさんパスワードの管理はどのようにされていますか??

PCのログイン、
Amazonや楽天などwebサービスのログイン、など
普段の生活の中でパスワードを使用する機会は多いと思います。

よく言われているのがパスワードは定期的に変更することがセキュリティ対策として有効とされていますが、
最近は「パスワードの定期的な変更は不要」と方針が変わってきているようです。

今までの定説からの方針転換については、総務省による「国民のための情報セキュリティサイト」で確認することができますが、
そもそもの発端は、2017年にアメリカの「国立標準技術研究所(NIST)」が発表した最新のガイドラインに準じたものです。

「国民のための情報セキュリティサイト」
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html
「国立標準技術研究所(NIST)
https://www.nist.gov/

なぜ、このような方針転換が行われたかというと、
「パスワードつくりのルールがパターン化されやすい」
というのがもっとも大きい理由と考えられているようです。

経緯としては、

複雑なパスワードをサービス登録ごとに考えるのが大変、
異なるパスワードを覚える労力が必要、
などから、自分が覚えやすいルールを作ってパスワードを作成したり、
またはパスワードを使いまわしたりするため、定期的に変更しても
容易にパスワードが推測できてしまうらめ、方針転換に至ったとされています。

じゃあ、定期的に変更する必要がないからといって、
パスワードを使いまわしたりいるとすれば、それはNGです。

重要なのは、「他人からは類推されづらいものにする」ことです。

例えば、

「12345…」のような連番は使う
英単語などをそのまま使用する
生年月日など自分に関する情報を使う

これは、他人から類推されやすいものになるのでNGです。

アルファベット、数字、記号を併用
可能な限り、大文字と小文字を混ぜる
覚えられる範囲で長めのものにする

これを守るだけでも、類推される可能性はだいぶ減らせます。

あとはパスワード忘れの設定でよくみる「質問の回答」。
「出身小学校は??」の質問に本当の学校名を設定する必要はなく、
自分だけがわかる名称に設定しておいたほうがセキュリティ対策としては
効果が高くなります。

パスワード盗まれるなんてないだろ、と油断してしまうものですが
意外と身近にあるものです。

(実際、スマホのアカウントを乗っ取られ、知らない間にitunesで課金され続け、
法外な請求を突き付けられた経験があります。。)

何かあったときでは遅いですので、できることはやっておくことを
オススメします!


by dailyblogtakahash | 2018-12-11 23:00 | IT

毎日テーマごとにブログで発言していきます。


by エンジニアTak.J