/

実は危ない、パスワードの定期変更

VentureBeat

アカウントを安全に保つため、学校や職場から2~3カ月ごとにパスワードを変更するよう求められているのではないか。これは広く実施されているセキュリティーの推奨事項だ。

当たり前のように使われている「パスワードの定期的な変更」はかえってセキュリティーを弱めることがある

ただし、これは完全に間違っている。

米連邦取引委員会(FTC)でチーフテクノロジストを務めるローリー・クレイナー氏は先週、米ラスベガスで開催されたセキュリティー会議でこの"通説"を打破した。

かえって安全性が低下することも

つまり、定期的にパスワードの変更を要求すれば、揚げ句の果てにはパスワードの安全性が低下する羽目になる。パスワードの変更を求められると、大半の人は昔のパスワードを使うようになり、大して変更しないからだ。

あるいは小文字を大文字に変えたり、パスワードの最後に文字をくっつけたりするかもしれない。研究者らはこうしたちょっとした工夫を「変換」と呼んでいる。ハッカーはこれをよく分かっている。

このため、実社会のパスワード破りは、こうした予想可能な変換を自分のスクリプトやパスワード破りのルーティンに組み込む。

IT(情報技術)ニュースサイトのアルス・テクニカによると、クレイナー氏は「パスワードを90日ごとに変更するよう求められると、これをパターン化したり、いわゆる『変換』を行ったりする傾向があると米ノースカロライナ大学(UNC)の研究チームは述べている」と指摘。「昔のパスワードを使ったり、少しだけ変えたり、新しいパスワードを考え出したりする」と述べた。

クレイナー氏は定期的なパスワード変更を求める7700のアカウントのデータに着目したUNCによる2010年の研究を引用した。

ランダムなパスワードが理想だが……

セキュリティー専門家のブルース・シュナイアー氏もこれに同意する。5日にはブログで「これはセキュリティー上、まずいアドバイスだと何年も前から言っている。脆弱なパスワードを促すことになるからだ」と語った。

これはパスワードの変更は絶対に良くないという意味ではない。ビジネス向け交流サイト(SNS)のリンクトインを襲ったサイバー攻撃のように、大規模な情報流出で自分のパスワードも被害に遭った場合、他のサイトでこのパスワードを再び使うのであれば(そうすべきではないが)、もちろんこれを変更すべきだ。

安全なパスワードを選ぶ最善の方法は随時変化しており、筆者はセキュリティーの専門家ではない。一般的には、長くランダムなパスワードが望ましい。シュナイアー氏は自らのブログで有益なアドバイスをしている。ここではイラストで簡単に覚えられるシステムを提案している。

By Kif Leswing(米ニュースサイト、ビジネスインサイダー)

(最新テクノロジーを扱う米国のオンラインメディア「ベンチャービート」から転載)

すべての記事が読み放題
有料会員が初回1カ月無料

セレクション

トレンドウオッチ

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
新規会員登録ログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
新規会員登録 (無料)ログイン