ビジネスの常識は「非常識」?

パスワードの定期的な変更は、実は間違いだった!?

2017.10.31 Tue連載バックナンバー

 企業におけるパスワードの管理方法としては、定期的に別のパスワードに変更する、というのが一般的です。しかし最近、その運用方法はそもそも間違っていた、という説が出てきています。それでは、パスワードはどのように管理するのがよいのでしょうか?

 

定期的なパスワード変更が疲弊を招く

 パスワードの定期的な変更を否定する声明を出したのは、アメリカの政府機関である米国立標準技術研究所(NIST)です。同団体が発行する電子認証に関するガイドラインでは、従来は「パスワードが長期間変更されていない場合、その旨をアラートとして画面に表示する」といったルールが決まっていたものの、今後はこうした表示を取りやめるとしています。

 同団体では、これまでパスワードにアルファベットの大文字や小文字、数字や記号を入れるようなルールを策定していました。もちろん、これはパスワードを複雑化し、第三者に不正にログインされないためです。

 しかしユーザー側からすれば、度重なるパスワード変更は面倒くさいもので、新しいパスワードを覚えるのも一苦労です。そうした手間が、結果的に新しいパスワードを適当なものにしたり、他サイトと同じパスワードを使いまわしたり、結果的にパスワードを分かりやすいものにしてしまう恐れがあるといいます。

 パスワード忘れを防止するために、「1234」、「abcd」などの単純な文字列や、誕生日の数字を使っている人も多いでしょう。しかし、上記のように予測しやすい単純な数字の羅列は、SNSなどの公開情報やプロフィールなどから推測されてすぐに破られてしまうだけでなく、総当たり方式(文字の組み合わせを全て試す方法)によっても簡単に解読されてしまいます。

 さらに、1つのパスワードを複数のサイトで重複使用している場合は、どれか1つのでもパスワードが盗まれれば、それを悪意ある人によって別のサイトに入力され、簡単に乗っ取られてしまい。SNSやネット通販の乗っ取り行為も、多くはこれによるものです。

 

では、どのようなパスワードを使うべきなのか?

 では、いったいどういったルールにすれば、悪意を持った第三者に盗まれない、安全なパスワードが作れるのでしょうか?… 続きを読む

全文(続き)を読む

続きを読むにはログインが必要です。

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

目代 純平

目代 純平

チェックフィールド株式会社 代表取締役
東京都認定eメディアリーダー

法人向けIT運用コンサルティング、運用管理代行を中心に約80社のIT環境を総合管理する傍ら、2008年より各地で「安全なケータイ・スマホ、インターネットの使い方」をメインテーマに講演活動を展開。この8年間各地で行った講演は150を超える。2014年フジテレビ「ホンマでっか!?TV」に「ネット問題評論家」として出演。

このページの先頭へ
Bizコンパス公式Facebook Bizコンパス公式Twitter