セキュリティ的にパスワードを定期的に変更することは意味が無かったと判明

https://cybersecurity-jp.com/cyber-terrorism/17426

日本のネット銀行のサイトはパスワードの変更を促すけれど

銀行のネットバンキングを利用すると、「長期間パスワードが変更されていません」とパスワードの変更を促されるメッセージが表示された経験があるはずです。

パスワードを変更することがセキュリティ強化に繋がると思い込んでいませんか?

ニューズウィークにこんな記事が発表されました。

パスワードは定期的に変更してはいけない
https://www.newsweekjapan.jp/stories/world/2017/05/—–2.php

実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。

テレビ番組の街頭インタビューでもこんな声が聞こえた。

パスワードを定期的に変更するけど、2、3種類のパスワードを使い回しているだけ

新しいパスワードを考えて作っても、そもそも記憶していなければいざという時にパスワードを入力出来ません。
そして、考えつくパスワードなんて数種類しかないのです。

仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。

新しいパスワードに変更したとしても、まだ流出していないパスワードを変更することに意味は無いのです。
むしろ、覚えやすいパスワードやパターン化したパスワードになってしまって、逆にセキュリティが低くなる傾向が認められました。

覚えやすくて見破られにくいパスワードの作り方

記号が使えればもちろん含む

パスワードクラックされにくいパスワードにするには、文字の種類を増やすことが一番簡単で効果的です。

アルファベットの大文字小文字の区別があり、記号が使える時は、
「数字+アルファベット小文字+アルファベット大文字+記号」
にするべきです。

この大事なところは、「記号」を使うことです。
これで文字の種類がより増えて、例えば総当たり(ブルートフォースアタック)での解読時間が膨大にかかります。

以下の表をみるとよく分かるでしょう。

8桁のパスワードで、記号なしでは解読に50年かかるところが、記号を使うと1000年と20倍になります。

https://cybersecurity-jp.com/cyber-terrorism/17426
引用:https://cybersecurity-jp.com/cyber-terrorism/17426

桁数も8桁より10桁に増やした方が、文字種を増やした効果が高いことが分かります。
http://www.dit.co.jp/service/security/report/03.html
引用:http://www.dit.co.jp/service/security/report/03.html

覚えやすくて解読されにくいパスワードとは

総当たり攻撃や辞書攻撃(あらかじめパスワードに使われそうな単語を集めていて、それで解読を試みる方法)にある程度の耐性がありながら覚えやすいパスワードの作り方に、「2語の複合」があります。

例えば「cat」「dog」を数字と記号を使って繋げるやり方です。

上記の例では「cat240$dog」といった具合です。

これでは桁数が9文字と少ないので、自分で覚えている長い単語を使うとセキュリティに強いパスワードになります。

ただし、間の数字を「000」とか「2018」とか単純な物にしてしまうのはいけません。
なるべくランダムな数字や記号を用いるべきです。

cat&7450%%dogとかにするとだいぶ強度が上がります。

こちらにパスワード強度チェッカーがあるので、自分のパスワードが適切なのか調べてみましょう。
あなたのパスワードの強度は?

同じパスワードを複数サイトで使うことがダメ

どんな難しいパスワードにしても、同じパスワードを複数のサイトで使い回すのは一番いけません。

どこか1つからパスワードが流出したら、その個人が使っているサイト全部に不正アクセスの危険が及びます。

犯人は、誰もが使っているであろうネットショップやクレジットカードのサイトなどに、取得したメールアドレスとパスワードでログインを試すでしょう。

なので、難しいをサイトの数だけ複数管理しなければならないのです。

記憶に頼るのは不可能なので、外部ツールを利用することになります。

以下にパスワード管理のツールを列挙してみます。

手書きで保管する

一番原始的なのは、手帳やノートに手書きすることです。
盗難や紛失や盗み見されない限り安全です。
自宅で利用するのであれば、選択肢に入る方法です。

ハイタイド パスワードブック

パスワード管理ツールを利用する

キングジム パスワードマネージャー

Amazonでは評判はそれほど良くありません。
付属のタッチペンがマッチ棒より短くて使いづらいとか、PCとの連携ソフトが対応しないPCがあるとか、液晶画面が暗くて見えないとか。

上記リンク先のレビューも使いづらさも感じつつ、何とか使ってる感じです。

それでも、200件のIDとパスワードを記録出来たり、パスワード生成機能があったり、最低限の機能があるので使えない訳ではありません。

しかし、「職場にスマホの持ち込み制限がある」とかでなかったら、次に紹介するスマホアプリのほうが便利に使えます。

スマホアプリで管理する

KeePass

私が使っているのはこのアプリ
PC版
https://keepass.info/index.html
Android版
https://play.google.com/store/apps/details?id=keepass2android.keepass2android
iPhone版
https://itunes.apple.com/app/id451661808

PC版の日本語化については以下のサイトが参考になります。
https://synclogue-navi.com/keepass-install

Android版のoffline版でない方を使っています。

offlineでない方はデータをクラウドに置くことが出来ます。
データファイルをクラウドに置けば、PCでもスマホでも同期されて、同じパスワードが使えます。
私は同期が速いDropboxにデータを置いて運用しています。

パスワードの生成機能もあるので、20桁のパスワードなんかすぐ出来ますし、サイト毎に違うパスワードを使っています。

クリップボードにコピー出来るので、手打ちで入力する必要もありません。

しかも、クリップボードは15秒で消されるので安心です。

Follow me!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA