2012年12月30日

パスワードの正しい使い方。

インターネットなどで、いろいろなサイトに会員登録していると、自分の会員
サイトに入るのに、ほとんどのサイトがパスワードが必須となっているところ
が多いです。

さらに、サイトによっては定期的にパスワードを変えるように要求するところ
も少なくありません。
理由は簡単で、いつまでも同じパスワードを使っていると、セキュリティー
の上で、問題があるとの考え方からです。
しかし、利用する方からすれば、定期的にパスワードを変更するのは、非常に
煩わしく、しかもパスワードを間違える確立も高まってしまいます。

もちろん、パスワードを第三者が知って、自分に被害が及ぶことは避けたい
のは当然であり、そのために定期的にパスワードを変えるのも仕方ないと
諦めてはいるのですが・・・

そんなパスワードの扱いに反論する記事を見つけたので、参考になればと思い
紹介します。

題して「なぜパスワードを頻繁に変えるのは時間の無駄なのか?」

数年前に行われたマイクロソフト社の研究によると、「パスワード変更の
強制による生産性の低下は、数十億ドルの損害に相当する」と報告されて
います。
また、そのほかのセキュリティ関連機関でも、頻繁にパスワードを変更する
「ベストプラクティス(ある結果を得るのに最も効率のよい技法)」が、
セキュリティよりもむしろフラストレーションを増やしていると指摘して
います。

これは、僕も大いに同感です。

その結局、ユーザーはいくつかのシンプルなパスワードを繰り返して使ったり、
PCにパスワードを書いた紙を貼り付けておいたりする行為に走ります。
その結果、パスワードの変更を強制することで、むしろセキュリティのリスク
を増大させているのです。

実際、僕も同じようなことをしてしまっています...

セキュリティの専門家によると、現代の侵入者はパスワードを知った途端に
すぐに行動を起こしますので、パスワードが侵入者に知られたらもう終わり
です。
たとえば、侵入者があなたの銀行口座のログインパスワードを盗んだと
します。
すると、ただちにあなたの口座からお金を引き出してしまいます。
そのため、後からパスワードを変えても意味がないのです。

また、企業のネットワークに侵入した場合でも、盗んだパスワードを使い
続けるよりはバックドア(コンピュータウィルスのトロイの木馬などで
知られる不正侵入を行うための「裏口」)のプログラムを仕掛ける筈です。

こうしたケースではパスワードを定期的に変更していてもあまり意味が
ないのです。

このように、侵入に使える凶悪なツールがいくらでもある現代では、
定期的なパスワードの変更はあまり有効な対策ではないのです。

パスワードに有効期限を設けても、侵入者にとってもほとんど障害になり
ません。
侵入者は、1秒間に3480億個のNTLMパスワードハッシュ(平文のパスワードを
ハッシュ・アルゴリズムでハッシュ化したパスワード)を破ることができる
マシーンを持っています。
NTLMとはWindows のアルゴリズムを用いたパスワード生成アルゴリズムです。
1秒間に3480億個のNTLMパスワードハッシュを破れるのなら、8桁のパスワード
を5.5時間で破れるということです。

とは言っても、パスワードを定期的に変えた方がいいアカウントもあります。

それは、二段階認証を備えていない Eメール、メッセンジャー、カンファ
レンス(会議)サービスなどのサイトだそうです。
こうしたサイトは、侵入者が何カ月も聞き耳を立てていたがるサービスです。
侵入者は何カ月も潜伏し、重要な情報が漏れてくるのをじっと待っています。

このようにEメールは、侵入者にとって宝の山であり、パスワードマネージャ
やコンピューターのアカウントと並んでセキュリティ上では最も重要な
アカウントです。

GmailやFacebook、Dropboxなどのサービスはアカウントのアクティビティ情報
を知らせてくれるので、誰かが勝手にログインしていないか監視することが
できます。

ここで、二段階認証について具体的に紹介しますと、例えば、パソコンや
携帯端末から初めて Eメールサービスにログインする際に、パスワードを
入力したあとに携帯電話に数桁の認証コードが送られます。
それをさらに入力することで、そのパソコンや端末を「信頼できる」と登録
できます。
たとえ他人にパスワードが破られても、その人はあなたの携帯電話はもって
いません。なので最後まで侵入することができなくなるのです。

最後に、基本的なセキュリティを強化するために、パスワードの変更よりも
重要なのは、アカウントごとに異なるパスワードを設定することです。
また、その他のセキュリティオプションも強化しておきます。例えば、
二段階認証を採用するとか、パスワード回復用の質問は推測されにくいもの
にする、データをバックアップしておくなどです。

もし、いまアナタがセキュリティが弱いパスワードを設定していたり、同じ
パスワードを複数の場所で使っていたりするなら、今すぐに変更した方が
よさそうです。





【この記事は、僕のメルマガ 『しんたさんのメルマガ』 の中の「しんたのたわ言」の部分です。】







posted by しんた at 10:46| Comment(0) | TrackBack(1) | しんたのたわ言 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

※ブログオーナーが承認したコメントのみ表示されます。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/310633145
※ブログオーナーが承認したトラックバックのみ表示されます。
※言及リンクのないトラックバックは受信されません。

この記事へのトラックバック

【明日】 年末ジャンボで6億円当たったときの正しい使い方
Excerpt: 1 :番組の途中ですがアフィサイトへの転載は禁止です:2012/12/30(日) 21:45:50.33 ID:O32IOHZ20 ?2BP(7000)いよいよ年末ジャンボ宝くじの販売が開始された。今..
Weblog: 【2ch】ニュース速報嫌儲版
Tracked: 2012-12-31 09:00