パスワードの定期変更は意味がない?
最近、米国の政府機関で「パスワードの定期変更を推奨しない」
という方針になったことがニュースになっていました。
パスワードの定期変更に意味があるのか、ということについては
以前から議論がありました。
米国政府機関としては「意味がない」という結論に達した、ということだと思います。
実際、「パスワードの定期変更を求める」システムにおいては
・とりあえず違うパスワードに変更する
・すぐに元のパスワードに戻す
といったことをしている人が多いでしょう。
人間が自分で管理できるパスワードには限度がある
結局のところ、人が記憶で管理できるパスワードというのは
それほど多くない、ということです。
ですから、多い人では数十からある登録サイトのパスワードを
すべて違うパスワードにする、というのはほとんど現実的ではありません。
人が記憶できないなら、ということで、Excel で管理している人もいますが
このファイルを人にみられる可能性を考えると
すぐにでもやめるべき習慣です。
ということで「パスワードを管理してくれるアプリ」
も存在しますが、この「管理」がどれほど信頼できるのか、
私自身は不安がぬぐえませんので使っていません。
それではどうしたらよいのでしょうか?
パスワードではなくパスフレーズ
先のリンク先には、「ワード(語)」ではなく、
より長い「フレーズ(句)」にすべき、とあります。
私も、数年前から、基本的には以下のようにしています。
1.ためしに登録するなど、どうでもよいサイトに使うための簡易な覚えやすい「パスワード」
2.漏洩されてもたいして問題ないサイトのための「パスフレーズ」
3.重要なサイトのための「パスフレーズ」
「パスワード」にも「パスフレーズ」にも半角英数、数字、記号を含めています。
「パスフレーズ」については、なんらかの意味のある句にしています。
たとえば、
rabbitRunsaway-2miles
(うさぎが2マイル逃げる)
のような感じです。
MyFavoriteSong=sweet_19_blues
でもよいでしょう。
句はその人が覚えやすく、なじみのあるものにすればとても忘れにくくなります。
問題はパスワードの文字数、文字種制限
ところで、せっかく上記のような方針でパスワード、パスフレーズを
決めていても、
「パスワードは8文字までにしてください」
「パスワードには英数字のみ指定してください」
というウェブサイトやシステムが存在します。
文字数の上限を短くしたり、文字種別を英数字だけに制限するのは
セキュリティ上かえって脆弱といえます。
文字数が増え、文字種が増えれば、それだけパスワードのパターンが増え、
推測されにくくなるわけですから。
残念ながら国内の、大手のウェブサイトで、
この手の制限がされていることが多いように思います。
なぜそのようにしているのか、是非教えてもらいたいものです。
このようなサイトのために、やむを得ず以下のパスワードも記憶しています。
4.制限のあるサイトのための8文字英字パスワード
都合4つのパスワード、パスフレーズです。
私としては、はやく4のようなパスワードをなくしてしまいたいのですが
こればかりは自分ではなんともなりません。。
みなさんはどのようにパスワードを管理していますか?
このページの著者
イルカシステム(株)は、以下のような業務用ウェブシステムのご提案、受託開発、運用を行っております。
-
中小企業さま向けの社内向け営業支援、顧客管理、経営数値管理システム
経営数値をリアルタイムで見える化し、目標達成度を常に把握することができ、顧客へのフォローもスムースになります
-
中小企業さま向けの受発注管理、請求入金管理、在庫管理
御社特有の受発注業務、出荷処理をシステム化することで業容拡大への大きなお手伝いとなります
-
医療業界向けの業務改善システム
※医療業界向けに、臨床研究の無作為割付自動化のための自社サービス「 ムジンワリ 」をご提供しております。
-
IoTシステムの開発
詳しくは ご提供サービス を参照してください。
