PREV | PAGE-SELECT | NEXT

≫ EDIT

パスワードは定期変更から流出時に速やかに変更へ総務省が方針を変更

こんな言葉をウェブサイト上でよく見かけませんか?

「パスワードは定期的に変更しましょう」

ネット銀行などサービスサイトではよく見かける文言です。

key

しかし、実際に定期的にパスワードを変更すると、パスワードの管理が煩雑になりますよね。

そして、そもそも『破られなかったパスワードを変更する意味があるの?』という疑問が浮かびます。


また頻繁に変更していたら、現実問題として覚えきれなくなる可能性や、次第に面倒になってきて覚えやすい簡単なパスワードに変更することにも繋がります。

それでは、安全なパスワードって、どういう風に設定すればいいのか? 気になるところですよね。


総務省の管理サイトによると、適切なパスワードの設定や管理には、以下の3つの要素があるという。

■安全なパスワード(他人に推測されにくく、ツールなどで割り出しにくいもの)の設定
 (1) 名前などの個人情報からは推測できないこと
 (2) 英単語などをそのまま使用していないこと
 (3) アルファベットと数字が混在していること
 (4) 適切な長さの文字列であること
 (5) 類推しやすい並び方やその安易な組合せにしないこと

■パスワードの保管方法
 (1) パスワードは、同僚などに教えないで、秘密にすること
 (2) パスワードを電子メールでやりとりしないこと
 (3) パスワードのメモをディスプレイなど他人の目に触れる場所に貼ったりしないこと
 (4) やむを得ずパスワードをメモなどで記載した場合は、鍵のかかる机や金庫など安全な方法で保管すること

■パスワードを複数のサービスで使い回さない(定期的な変更は不要)

なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。

むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。

定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
password-kanri
参照:国民のための情報セキュリティサイト



また、上記参照先からリンクされている、内閣サイバーセキュリティセンター(NISC)監修の『 情報セキュリティハンドブック 』はイラスト付きで理解りやすく、サイバーセキュリティに関する基本的な知識が紹介されています。

このハンドブックは、PDF版から電子書籍版、スマートフォンアプリ版まで多彩に用意されています。

ちなみにPDF版は159ページで構成されていました。

時間が取れた時に一度は目を通してみるといいでしょう。

お子様からお年寄りまで家族でワイワイと、かしこまらずに読んでみるのも楽しそうですね。


総務省がパスワードを頻繁に変更するのはNGと方針転換した模様です。

パスワード「頻繁に変更はNG」 総務省が方針転換


簡単に説明すると
・パスワードの定期変更は不正を防ぐ有効な手段とされてきた
   ↓
・米国などでは2016年頃から「定期変更を要求しない方がいい」という意見が高まってきた
   ↓
・日本でも2016年12月、サイバー攻撃対策を担う内閣官房の内閣サイバーセキュリティセンター(NISC)が「必要なし」とする見解を示す
   ↓
・これを受けて総務省もサイトを変更
という流れ

パスワードを定期的に変えるのは「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけています。


そう言えば、2014年頃に『ウォッチドッグス』とカスペルスキーのコラボキャンペーンで、パスワードチェッカーサイトが公開されましたが、パスワードについて結構真剣に考えさせられたのを思い出しました。

はっきりとは覚えていませんが特設サイト上では、たしか時間をかければ解読不可能なパスワードなど存在せず、出来るだけ解読に時間がかかるようにするのには、と前置きがありましたね。

・パスワード文字数は出来るだけ多いほうが良い
・英数字を混在させ、さらにアルファベットは大文字と小文字を混ぜる
など、アドバイスが記載されていました。

また実際に使用するパスワードは入力しないで下さいと書かれてあり、注意点を良く読んで当時試しましたが、懐かしい思い出です。

結果はというと、想定パスワードを13文字、英数字混在、アルファベットは大文字と小文字を混ぜて試してみましたら・・

解析に2日以上かかると判定された記憶があります。

ちなみに『ウォッチドッグス』上の近未来の世界が、現実的になってきているのも興味深いものがあります。

情報セキュリティーに興味があり、近未来を疑似体験したい方は『ウォッチドッグス』をプレイしてみると良いでしょう。

あなたのセキュリティー意識を高める手助けになります。




関連記事

| IT・科学 | comments:0 | trackbacks(-) | TOP↑















非公開コメント

PREV | PAGE-SELECT | NEXT