セキュリティ入門Web講座

いろいろ言われているがどうしたらよいの? ~ パスワード管理について その4 定期的に更新する ~

前回に引き続き、「パスワードについて、いろいろ言われているがどうしたらよいの?」とのご質問のご紹介です。
パスワード管理の基本を6回に分けてお話していきます。
今回は4回目の「定期的に更新する」です。

パスワードの管理について

今回お話をするのは基本的な内容です。
このお話の内容に手を加えている人もいます。
ご自身で扱いやすい方法に変更されてはいかがでしょうか。

広告枠・・・広告やリンク先の保証はしません

パスワード管理の基本

基本的な内容は次のとおりです。
  1. メモに残さない
  2. わかり難い文字列にする
  3. 英数字(可能であれば記号も入れて)を組み合わせる
  4. 定期的に更新する?
  5. 最低でも6文字以上(可能であれば9文字以上)にする
  6. サービスごとにパスワードを変更する
  7. 人にパスワードを教えない
それぞれについてお話をします。

広告枠・・・広告やリンク先の保証はしません

定期的に更新する

実は、「定期的な更新」については、意見がわかれています。
以前は、「攻撃者が、不正ログインされた人に知られないようにサービスなどを使い続けることが多いので、定期的にパスワードを変更すると使えなくなるから良い」とされてきました。
これはこれで効果があることは確かです。

ところが、実際にこの方法を用いている人の中には、単純なパスワードを使ったり、パスワードを使いまわす人が一定数居ることがわかってきました。

単純なパスワードが推測されやすくて危険というお話は、「わかり難い文字列にする」で既にお話をしていますので、「使いまわし」のお話をします。 このような「使いまわし」をしていると、一定期間すると攻撃者が使えるようになります。
不正ログインされていることに気が付かないのですから、定期的に使いまわします。
このため、例えば、使いまわすパスワードが、「Password1」「Password2」「Password3」という3種類とします。
そうすると、パスワードを変更する期間が一か月の場合、三か月ごとに攻撃者が使えるようになってしまいます。
3種類ではなく2種類であれば、さらに期間が短く、2か月ごとになります。
これでは、「意味が全くない」とまでは言いませんが、「攻撃者に使えなくさせる」という目的を達成できたとも言えません
このため、一定期間ごとにパスワードを変更するという手間を考えると、その手間の割に、効果が疑問視されているのです。

やらないよりはやった方が良い事は確かですが、使い方しだいでは手間より効果が薄くなってしまいます

この定期的な更新について言えば、使う側のパスワード管理が重要になります。

次回は、「最低でも6文字以上(可能であれば9文字以上)にする」のお話をします。

タグ:, ,


参考記事(一部広告含む)


このページの記事についてちょっと質問!