昨年の話になりますが、現在利用しているとあるネットバンクで、アクセスする度に10月末で現在のパスワードが使えなくなると注意を受けていました。
何度もログインを試したのですが、パスワードがわからなくなってしまい、ネットバンク側からの過度なパスワード変更要請の結果なので、イラっとしていたので放置していました。
そして、アクセスできないまま期日を迎え、ログインできなくなりました。
そのうえ、気がつけば期日が過ぎて1ヶ月以上立ちますが何もいってきません。
最終的には、自分から連絡してパスワードの郵送手続きで処理する羽目になり、ログイン出来るようになるまで、さらに2週間程度かかってしまいました。
パスワードの変更の強制は逆効果
マイクロソフトも「Microsoft Security Guidanceブログ」において、パスワードについてのスタンスを変更するとしており、「パスワード有効期限ポリシーを削除します」とあります。
記事の内容を非常にザックリ表現すると、過度なパスワード変更はデメリットの方が多いとしています。
つまり、過度にパスワードの変更を強制すると以下のような状況に陥るとしています。
- 予測が可能な文字列で少しだけ変更する
- 他人でも見えるところに書き留める
パスワード有効期限ポリシーを削除については、パスワードの最小文字数や履歴、または複雑さなどを変更することでは無いとのことです。
パスワードの強さの規定は変えないけれど、盗まれてもいないパスワードを前もって変更して、逆に弱い推測されやすい文字列にすることが無いようにとのことでしょう。
ネットバンク側の根本的な対応は?
一般的には、ネットバングにアクセスする場合、普段と同じパソコン、ブラウザでアクセスしていると思います。
ですから、パスワードを変更していくことは、それなりにセキュリティ上において意味があるかもしれません。
しかし、強いパスワードを作成せずに管理も甘い状態での頻繁なパスワード変更の強制は、より単純な推測されやすいものになりがちですので、本末転倒にならなければ良いと思います。
過度なパスワード変更依頼で、より推測されやすい安易なパスワードになれば、なおさら不正アクセスされやすくなります。
その結果、ネットバンク側も余計にパスワード変更を強制することになってしまったら、それこそ負のスパイラル状態です。
そもそも利用者側のパスワード設定や管理だけが問題とは限りませんので、ネットバンク側の安全性を高める根本的な対応を望みます。
まとめ
パスワードの過度なリセット要請はマイナスになる?
マイクロソフトもパスワード有効期限ポリシーを削除するとのことです。
過度にパスワードの変更を強制すると
- 予測が可能な文字列で少しだけ変更する
- 他人でも見えるところに書き留める
というような状況になり逆効果
パスワードの最小文字数や履歴、または複雑さなどを変更することでは無い
サービス提供側のセキュリティ対策も重要
利用者側のパスワード設定や管理だけが問題とは限りません。
サービス提供側の安全性を高める根本的な対策も重要です。
コメント