2018年03月28日

定期的なパスワードの変更は不要…というか問題になることもあるという方針変換だそうで


実際のところ、3ヶ月に1回の頻度で変更せよとか言われても、どんどん単純かしていったり、末尾だけ数字が変わっていくみたいなパスワードになっていくだけなのはよくある話。さらにセキュリティ強化と称して、パスワード変更時に制限が掛かっていたりしますが、

  • 3回前までと同じパスワードは利用できない→変更時期になると一気に4回変更を行い、最初のパスワードに戻す
  • 1文字だけの変更は不許可→2文字変更する

みたいな回避策をしている人も多かったり。
また、パスワード変更に際して、意図した入力が出来ていなくてアカウントが失効するトラブルもあったりとかして、IT担当者の手間を増やしていたこともあったり。

はやく、身近なところのサービスにも、この方針が浸透してほしいです。

実際、変更しなければならないのは、パスワードの流出が起きた場合くらいなんだとか。
また、複数のサービスで同じパスワードを使い回すのはNG。あるサービスで流出したIDとパスワードのリストを使って、別のサービスにログインを試みる攻撃も確認されていることから、重要でしょう。

なお、サービス側の対策としては、流出に備え、サービス側で保存しておくパスワードはハッシュ化するなどして、元のパスワード文字列が類推しにくいようにするのも重要でしょうね。


posted by ayacy at 00:52 | Comment(0) | TrackBack(0) | インターネット