かえって危ない、パスワードの定期変更

実は危ない、パスワードの定期変更
以下は、記事の抜粋です(太字はブログ筆者による)。


アカウントを安全に保つため、学校や職場から2~3カ月ごとにパスワードを変更するよう求められているのではないか。これは広く実施されているセキュリティーの推奨事項だ。

ただし、これは完全に間違っている。つまり、定期的にパスワードの変更を要求すれば、パスワードの安全性が低下する羽目になる。

パスワードの変更を求められると、大半の人は昔のパスワードを使うようになり、大して変更しない。あるいは小文字を大文字に変えたり、パスワードの最後に文字をくっつけたりするかもしれない。

ハッカーはこれをよく分かっている。このため、実社会のパスワード破りは、こうした予想可能な変換を自分のスクリプトやパスワード破りのルーティンに組み込む。


私もこの記事に指摘されているように、定期的にパスワードの変更を求められた場合は、新しいパスワードを創作するのではなく、いくつかの古いパスワードを使い回ししています。でも、この記事に書かれているような「変換」ではありません。

もともと、提供側が顧客にパスワードの定期変更を要求するのは、安全のためではなく提供側が顧客に責任転嫁するためだ、という説もあります。

ランダムなパスワードを、覚えられる限り多く用意しておくしかないということでしょうか?高齢化社会には不向きなシステムです。