ネットで拾った話題。
もはやプー太郎なので、あまり自分には関係ないかも知れないけど、もっと早くに実現してほしかった話。
タイトルは『「パスワード変更」をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNG』
米国の政府機関である米国立標準技術研究所(NIST)というところが、「組織はユーザーに定期的なパスワード変更を要求してはならない」という内容を含めた新しいガイダンス「SP800-63B」を発表したそうだ。
https://www.itmedia.co.jp/news/articles/2410/07/news054.html
記事にもあるように、現在多くの企業・組織において「定期的なパスワードの変更」を義務付けている。
しかし、実際には定期的にパスワードを変更したところでセキュリティの強化にはつながっていないどころか、かえって脆弱化している、というのがその理由だそうだ。
『パスワードを変更するたびに、攻撃者が推測しやすい貧弱なパスワードをユーザーが選んでしまうことが示されている。例えば、無数のパスワードを覚えられないため、単純な単語やフレーズに増加する数字を付け加えるだけといった悪い決定をし始める。「password1」「password2」「password12」というように』
つまり、パスワードを変更する際、ほとんどの人は全部変えてしまうと覚えきれないため、その一部あるいは最後につける記号や数字を変えるだけで使い回そうとするわけだ。
ただ、記事に『多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している』とあるように、確かに新しいパスワードを考えるのは大変だけど、実際には大半の人たちは新しいパスワードを考えるのではなく、これまで使い回してきたパスワードを多少作り変えるだけだし、そもそも「覚えて」なんかいない。
PCのログインパスワード、指定されたサイトにログインする際のパスワード、その他さまざまな状況でパスワードが要求され、それぞれにパスワード作成の要件が少しずつ違うので、すべて違うパスワードにしなければいけない。
こんなもの覚えられるわけがないので、皆さんはどうしているのか。
それを一覧表にして、PCに貼り付けている・・・場合が多い・・・と思われる。
まさに本末転倒である。
悪意をもってPCに侵入しようとしている連中にとって、苦労してパスワードを推測するよりも、実際にPC前に立って、そこに貼り付けられている付箋紙を見ればいいだけなのだ。
今回米国立標準技術研究所が提唱していることは以下の通り。(「⇒」はその理由)
・最低8文字を必須とし、15文字以上を推奨している。最大長は少なくとも64文字まで許可すべきである。
⇒これにより、ユーザーが十分に長く、複雑なパスワードを設定できるようになる。
・文字種については、印刷可能なASCII文字とスペース、さらにはUnicode文字も受け入れるべきである。ただし、大文字小文字の混在や数字、記号の使用を強制するような複雑な規則は課さない。
⇒そのような規則が必ずしもパスワードの強度を高めるわけではなく、むしろユーザーの利便性を損なう可能性があるためである。
・パスワード選択時には、一般的に使用や予想される、または過去に侵害されたパスワードのブラックリストと照合する。ブラックリストに含まれるパスワードが選択された場合、システムは別のパスワードを選択するよう求め、拒否の理由を説明しなければならない
⇒これにより、脆弱なパスワードの使用を防ぐ。
・パスワードマネージャーの使用を許可し、パスワード入力時の「貼り付け」機能も許可すべきである。
⇒これは、複雑で一意のパスワードの使用を促進するためである。また、入力中のパスワードを一時的に表示するオプションを提供することが推奨される。これにより、ユーザーは入力ミスを防ぐことができる。
自分のオリジナルパスワードというものは、特に女性のスマホのIDなどに見られるように、少々長くても、それには自分なりの意味があるので、他人から見てもまったく意味不明な英数字の組み合わせであっても、スラスラと入力している。
今回の発表についてはなるほどと思うのだが、実はこのような要求は10年以上も前から言われていることらしい。
にもかかわらず、何の改善もされていないのは、おそらく「そのようなシステムにすることが大変」あるいは「そんなこと言ったって、定期的に変更させた方が管理する方は楽じゃん」と考えているのではなかろうか。
いずれにしても、多くの人がIT系には弱いので、お上から「こうやれ!」って言われない限り、みずから動こうとすることはないだろうと思う。
もはやプー太郎なので、あまり自分には関係ないかも知れないけど、もっと早くに実現してほしかった話。
タイトルは『「パスワード変更」をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNG』
米国の政府機関である米国立標準技術研究所(NIST)というところが、「組織はユーザーに定期的なパスワード変更を要求してはならない」という内容を含めた新しいガイダンス「SP800-63B」を発表したそうだ。
https://www.itmedia.co.jp/news/articles/2410/07/news054.html
記事にもあるように、現在多くの企業・組織において「定期的なパスワードの変更」を義務付けている。
しかし、実際には定期的にパスワードを変更したところでセキュリティの強化にはつながっていないどころか、かえって脆弱化している、というのがその理由だそうだ。
『パスワードを変更するたびに、攻撃者が推測しやすい貧弱なパスワードをユーザーが選んでしまうことが示されている。例えば、無数のパスワードを覚えられないため、単純な単語やフレーズに増加する数字を付け加えるだけといった悪い決定をし始める。「password1」「password2」「password12」というように』
つまり、パスワードを変更する際、ほとんどの人は全部変えてしまうと覚えきれないため、その一部あるいは最後につける記号や数字を変えるだけで使い回そうとするわけだ。
ただ、記事に『多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している』とあるように、確かに新しいパスワードを考えるのは大変だけど、実際には大半の人たちは新しいパスワードを考えるのではなく、これまで使い回してきたパスワードを多少作り変えるだけだし、そもそも「覚えて」なんかいない。
PCのログインパスワード、指定されたサイトにログインする際のパスワード、その他さまざまな状況でパスワードが要求され、それぞれにパスワード作成の要件が少しずつ違うので、すべて違うパスワードにしなければいけない。
こんなもの覚えられるわけがないので、皆さんはどうしているのか。
それを一覧表にして、PCに貼り付けている・・・場合が多い・・・と思われる。
まさに本末転倒である。
悪意をもってPCに侵入しようとしている連中にとって、苦労してパスワードを推測するよりも、実際にPC前に立って、そこに貼り付けられている付箋紙を見ればいいだけなのだ。
今回米国立標準技術研究所が提唱していることは以下の通り。(「⇒」はその理由)
・最低8文字を必須とし、15文字以上を推奨している。最大長は少なくとも64文字まで許可すべきである。
⇒これにより、ユーザーが十分に長く、複雑なパスワードを設定できるようになる。
・文字種については、印刷可能なASCII文字とスペース、さらにはUnicode文字も受け入れるべきである。ただし、大文字小文字の混在や数字、記号の使用を強制するような複雑な規則は課さない。
⇒そのような規則が必ずしもパスワードの強度を高めるわけではなく、むしろユーザーの利便性を損なう可能性があるためである。
・パスワード選択時には、一般的に使用や予想される、または過去に侵害されたパスワードのブラックリストと照合する。ブラックリストに含まれるパスワードが選択された場合、システムは別のパスワードを選択するよう求め、拒否の理由を説明しなければならない
⇒これにより、脆弱なパスワードの使用を防ぐ。
・パスワードマネージャーの使用を許可し、パスワード入力時の「貼り付け」機能も許可すべきである。
⇒これは、複雑で一意のパスワードの使用を促進するためである。また、入力中のパスワードを一時的に表示するオプションを提供することが推奨される。これにより、ユーザーは入力ミスを防ぐことができる。
自分のオリジナルパスワードというものは、特に女性のスマホのIDなどに見られるように、少々長くても、それには自分なりの意味があるので、他人から見てもまったく意味不明な英数字の組み合わせであっても、スラスラと入力している。
今回の発表についてはなるほどと思うのだが、実はこのような要求は10年以上も前から言われていることらしい。
にもかかわらず、何の改善もされていないのは、おそらく「そのようなシステムにすることが大変」あるいは「そんなこと言ったって、定期的に変更させた方が管理する方は楽じゃん」と考えているのではなかろうか。
いずれにしても、多くの人がIT系には弱いので、お上から「こうやれ!」って言われない限り、みずから動こうとすることはないだろうと思う。
アクセス
トータル
ランキング
※コメント投稿者のブログIDはブログ作成者のみに通知されます