以前一部の界隈で流行った書き方にすると、こんな感じのタイトルになりそうです
パスワード変更、定期的には不要
先日、総務省がパスワードの管理について「定期的な変更は不要」と記載したことで、NHK等でニュースとなりました。
「国民のための情報セキュリティサイト」
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html
これはアメリカの米国国立標準技術研究所 NIST(National Institute of Standards and Technology)が発行したガイドラインを元にしていると考えられます。
アメリカでこのガイドラインが出た時に日本でも追随する動きが出るのかと思った事もありましたが特段そんな事もなく、月日が流れてようやく国が動きを見せたのが今回の事例です。
遅い。
定期的なパスワード変更の弊害
定期的なパスワード変更によるユーザー負担は、次の状況を生み出しやすくなります。
・利用者はパスワードの一部を変えてパターン化する傾向がある
Password1→Password2→Password3・・・
・複数サイトで同じパスワードを使い回すようになる
このような状況のため、例えばパスワードが漏洩した場合に定期変更を促していても、末尾の数字を変える運用をしているユーザーは瞬時にパスワードを類推され、容易く突破される事になり、定期変更が意味をなしていない事がわかります。
そのためパスワードの漏洩がない限り、パスワードの変更を促さないようにしていくことが、これからの常識となりそうですね。
銀行・証券のサイトなどでは数か月ごとにログインパスワードを変えろ、取引パスワードを変えろと警告画面を表示したりするのを早いところ止めてもらいたい。
面倒なログインの実例
PC起動。
シンクライアントシステム起動のためのIDとパスワードとワンタイムパスを入力。
無線接続のためのパスフレーズを入力。
ネットワーク接続後、ログインIDとパスワードの入力。
システム利用のためにブラウザで再びログインIDとパスワードの入力。
WEBサイト閲覧の際、プロキシを利用するために再びログインIDとパスワードの入力。
パスワード変更は60日毎。
ログインが毎日あるので、累積で考えると相当の時間をログイン作業に費やしていると思います。
生産性の向上なんて出来ないわけです。
0 件のコメント:
コメントを投稿