「あのパスワード規則、実は失敗作だった」というニュースがウォール・ストリート・ジャーナル日本版に…
概要は、90日ごとにパスワードを変更し、アルファベットの大文字や小文字に特殊文字までまぜて作るとなると、多くの人は一部分しか変更しないとしています。
また、パスワードの研究者によれば4つ単語を並べた方が、それより短く特殊なものより難しくなるとしています。
あの規則…論理的には正しい
アルファベット小文字と数字の36文字・4桁の場合は、36×36×36×36=1,679,616通りとなります。
そして、アルファベット大小文字と数字、さらに特殊文字などをいれて、70文字・4桁でシミュレーションしてみますと、70×70×70×70=24,010,000通りになります。
使える文字が倍程度になれば、同じ桁数でも10倍以上にもなります。
さらに、90日ごとに変更すれば、安全度は相当高いものになるでしょう…理論的には。
使うのは人間だから…
そうです人間がパスワードを管理する場合、あまり難しいと何かに書き留めておかないといけません。
悪い例の代表としては、付箋をディスプレイに貼ってパスワードを管理しているなんてことも、以前は多かったと思います。
最近は流石にないでしょうが、それでもメモをどこかで管理する必要があります。
それよりも、パスワード管理ソフトやブラウザーに覚えさせるという方もいるとは思いますが、それ自体の安全性や使い勝手の問題も発生します。
結局、新たなリスクが次々発生してしまいます。
これらの問題に対して、アルファベット小文字と数字の36文字・5桁の場合は、36×36×36×36×36=60,466,176通りとなり前述の特殊文字も含めた70文字とした場合のシミュレーションよりも、単純に倍以上になります。
このニュースにもありますが、 単語を4つ並べたパスワードの方が、それより短い特殊文字などを含むパスワードよりも難しいとしています。
これならば、覚えておくことも比較的簡単で、忘れたとしても思い出しやすいハズです。
90日ごとの変更を強制するサービスをやめてほしい
とあるネットバンクですが、半強制的に90日程度でパスワードの変更をおすすめされて、とても困っています。
こちらのネットバンクへのアクセスは、USBライブ起動したまっさらなOSで、ファイル保存しておいた銀行のURLをクリックして、アクセスしています。
USBライブ起動の場合、アクセスに必要なメールも他のパソコンで受信して対応しています。
つまり、銀行以外の外部にはアクセスしないということです。
しかも有線LANで、USB起動したOSもデータを上書きしないで終了し、管理している状況です。
ですから、パスワードを変更する必要は、まず殆どかんがえられないのです。
でも、変更させられてしまうので、メモ書きしている始末です。
もちろん、パソコンから離れたところにおいてありますが、なんだか本末転倒だと感じて仕方がありません。
そして、そのメモを他人がみたら、よくわからないようにするため、たまに自分でもわからなくなります。
そのために、どれだけの時間を費やしていることか…
そして、WSJのニュースでは、米国の国立標準技術研究所(NIST)によると パスワードを変更すべきなのは、盗まれた兆候があったときとしています。
そうでしょう。
過剰な変更は、パスワードの管理をよりしにくいものにしています。
まとめ
「あのパスワード規則、実は失敗作だった」というニュースがウォール・ストリート・ジャーナル日本版に…
概要は、90日ごとにパスワードを変更し、アルファベットの大文字や小文字に特殊文字までまぜて作るとなると、多くの人は一部分しか変更しないとしています。
そして、単語を4つ並べたパスワードの方が、それより短い特殊文字などを含むパスワードよりも難しいとしています。
さらに、パスワードを変更すべきなのは、盗まれた兆候があったときとしています。
過剰な変更は、パスワードの管理をよりしにくいものにしています。
間違えれば、なんども入力することで、その人の法則性がわかりやすくなります。
また、パスワードの再設定など、メールでのよけいなやり取りが発生してしまいます。
忘れないために、メモを取る必要が発生し、メモの管理が必要になり、パソコンに残せば、それはそれで、別のリスクが発生します。
ソフトやブラウザーに管理させれば、違うデバイスからアクセスする場合に、困ることや、パソコンが壊れ、アクセスできなくなることもあり、決して良い方へは行っていませんでした。
もちろんバックアップで対応は当たり前ですが、どんどん大事になっていっていました。
でもこれで、すこしは変わってくれることでしょう。
コメント