情報セキュリティ(47) サイバー攻撃への対策④ パスワード方針
IDとパスワードは、セキュリティの重要な要素です。最近は顔認証や指紋認証がありますが、これらの方式は誤読率の問題もあり、最後はIDとパスワードが関所となります。
パスワードはその人の知識自体をカギとするものです。本人以外が知らないことが重要で、推測されにくいことがポイントとなります。そのため、数字と英字を組み合わせたり、一定の長さを要求したり、従来は定期的に変更することが要求されていました。システム構築の際も、パスワードを90日以上変更しないとロックされるなどの制御がされることが一般的でした。
ところが、定期的に変更すると推測されにくいかというと、そうとも限らないことが指摘されています。なぜかというと、定期的な変更を求めると、却ってパスワードがパターン化し、変更される部分は年月日であったりとか、解読者にヒントを与えることになりかねないからです。
そのため、2018年に、総務省はパスワードについて、大きな方向転換をしました。つまり、定期的な変更が重要なのではなく、長くて複雑なパスワードが求められるようになったのです。
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html
私もこのガイドラインが出てから、パスワード生成アプリを導入し、パスワードを乱数生成し、これを別管理するようにしました。全く覚えられず、入力のたびに調べていますが、セキュリティには代えられません。頭で覚えられるパスワードではなく、覚えられないパスワードを設定するのが望ましいと思います。
投稿者プロフィール
最新の投稿
総合2024.02.12動物たち
バラの街2024.02.11黄色いレシートキャンペーン
手続きコンサルティング2024.02.10行政書士会 新年賀詞交換会
事務所2024.02.08日曜大工
