オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

パスワードの定期変更は危険!という話をそのまま鵜呑みしていいのか?

»

以前から言われていましたが、ちょっと違和感を感じています。どの部分をどのように捉えるか?というだけの話なのですが、ここ大切だと思っています。

日本もようやく......「パスワードの定期変更は危険」を報じた日経の記事が大きな話題に

色々な流れの後に出てきた考えなので、その全体を理解すれば「まぁ問題ない」ことですが、

 ⇒ パスの定期変更は危険がある(場合もある)

 ⇒ パスは定期変更しない方が良い?

 ⇒ パスは変更しないほうが良い!

という都合良いとこだけ摘まんでみたいなことになってきている...ような感じがしています。

セキュリティはトレードオフという基本

ダイエットみたいなものです。私も頑張らなきゃいけませんと書きながら言い聞かせています(笑)

継続しなければ意味もないのは当たり前ですが、超簡単な足し引き算で成り立っています。食った分(プラス)は何らかの方法で消費(マイナス)しなければ、どんどん加算されていきます。塵も積もれば山となる...感じです。増えた分以上に引かないと!頑張ってみます(爆)

セキュリティの場合、例えばスマホのパスワードならば、何も設定しなければ使う度に解除しなくてもよいので毎回煩わしい手間が省けます。が、盗難紛失時には誰にでも開けられてしまいます。中身丸見えの流出し放題。どれだけの頻度で発生するか解りませんが(扱い方によって随分変わるはず)、解りやすく100か0の話です。中身丸見え全然OK!としても、誰かの連絡先やメールなどのやり取り、少なくともガラケー時代よりも多くのデータが入っていますし、自分以外のものも多いはずなので、全然OKとはならないはずです。

定期変更よりもっと違和感を感じること

パスワードの定期変更を求めるサービス(システム)など、いくつかのパスを使い回していると変更入力時に「それ以前に使ってたのでダメです!」なメッセージが出てきたことがあります。パスワード管理ツールなどで管理してれば、自分でも記憶出来ないようなパスを生成して使うことも出来ますが、面倒であったり、そんなツールを使わない(使えない)こともあります。

しかしそれ以上に、いくつのパス記憶してるの?という、使い回している自分はどっかに置いといて...心配になってしまうのですよw

定期変更が必要なくなれば、こんな機会も減るのかもしれませんが、基本に戻ればそんなメッセージが出ないようなパスで対応したいものです。

パスワードの作り方ネタ

以前から気になっているのは、パスワード関連のニュース記事など、理想的な形やダメダメなこと、今回のような定期変更なくなってよかったみたいな話題ばかりですが、100%どこでも指紋や顔認識等使えない限り、文字のパスを使うしかありません。となるとその作り方を知らないとまったくお話しになりません

以前に色々書いていますので参照ください。過去の関連ブログは、こちらかこここのへんも

結局は...

定期変更は不要という考え方もあるという理解をした方がいい!と考えます。

不要という考え方は、してはならない訳ではありませんし、しない方がいい訳でもありません

パスワードに限らず、このような考え方は色々と日常の中にあると思いますが、冒頭の「どの部分をどのように捉えるか?」に繋がってきます。

どちらのほうがよいか?と考えた時、定期変更は必要ないかも知れませんが、サービス(システム)に言われるタイミングでない時に、自分でマネージ出来る間隔でパスワードを変更出来るだけのネタを持ち合わせる。ことのが重要と思います。

後は文字パスワード以外の方法(二段階パスワード)などが使えるならば、積極的に取り入れていくことが一番かもしれません。

何かの変更する機会になれば幸いです。

Comment(0)