■パスワードの関する強制が変わる!?
これから、パスワードの定期的変更と複数文字種使用が強制されなくなります(^^)
パスワードに関するバイブルとされているガイドラインが今年の6月に改訂されたからです。
そのバイブルSP800-63(2017/06版)に、
パスワードの複数文字種強制
パスワードの定期的変更強制
は推奨しない、と明記されたんです。
元々これらの強制を推奨した意図は、パスワードの複雑化を推進しセキュリティを高めること。
しかし、やってみたら、パスワードは全然複雑化しなかったということが判っちゃったんですね。
なので、効果がないことは強制すべきではない→推奨しないと明記、されたわけです。
ですので、今これらを強制しているサイトも、徐々に対応し、パスワードに関する強制は廃れていくでしょう♪
逆の見方をすれば、今後もこれらを「強制し続ける」サイトはセキュリティが低い、という証になりますね♪
なお、パスワードの複雑化を否定しているわけではありません。
複雑化する手法として、文字種や定期的変更を強制しても効果がない、ということが言いたいのです。
パスワードの複雑化はセキュリティを高めることは間違いないので、誤解なきようm(__)m
※SP800-63は米国連邦政府がまとめた認証に関するセキュリティガイドライン。
※パスワードの複雑化とは、他人に類推されないような文字列をパスワードにするということ。
■文字と数字と記号を強制されるパスワード
あちこちのサイトにあるパスワードの注意書きでよく見かけますよね。
「文字と数字と記号を複数種類使ってください。」
「英小文字と英大文字を組み合わせる必要があります。」
といった文言。
実は、これを強制された利用者のほとんどは、わかりやすいパスワードを設定しまっていたとの調査結果。
例えば、Password1234 pass@0101 Ayanokoji!1231 とか。
心理として...
複数の文字種を使って複雑な組み合わせにしちゃうと絶対に忘れちゃう^^;
文字種を多くすればセキュリティ高いんでしょ、じゃ、単純な言葉でいいや♪
となっちゃうから。
複雑なパスワードを設定してもらうべく誘導してみたが、利用者は意図とは違う方向で対応しちゃった(=効果がなかった)、ということ。
こうなると、ITというより、行動学とか心理学、の分野ですね...楽な方に流れていく人がほとんどである(笑)
どこかの記事に書いてありましたが、まさにその通りです。
「制限を課すほど、ユーザーの思考が単純になり、破られやすいパスワードを使うようになってしまった。利便性を落としてでもセキュリティを高める施策のはずが、利便性だけでなくセキュリティまで低下させる方向に作用をしていた」
ちなみに、よく使う手で、先頭や末尾のみ大文字化、aを@、Aを4、o(オー)を0(ゼロ)に変えるのも、パスワードあるある化しちゃってるんで効き目なし(@_@)
■定期的な変更の強制
例えば、毎月、半年おき、など「パスワードを変えなきゃダメじゃないですか!」と怒られちゃうやつです(^^)
これも、複数文字種と同じ心理が働いちゃって、
末尾を繰り上げ
先頭文字を繰り上げ
末尾文字を先頭に移動
など、パターン化した変更に陥ってしまい、パスワードの複雑化には寄与していなかったことが判明。
ちなみに、前の会社にいたときは、まさにこうしていました^^;
というか、システム部門の人自ら口コミで拡散してたし(笑)
そもそも、パスワードが複雑である場合、変更するタイミングは、定期/周期にこだわる必要はなく、関係者の退職や第三者のログイン記録やパスワード漏えいなどが発生/発覚した時に「即時対応」、とした方が運用上有効でしょう。
おそらく、システム部門の人は、定期的変更には効果がないから、いずれ使われなくなる/廃れることを予想してたんだと思います、経験的に(^^)
それなのに、なぜルール化したのかというと「対策したことを見える化しろ!」と上司から言われ、渋々実施した、というところでしょう^^;
一方、仕組み上、短い文字数、数字のみ有効、という環境の場合、パスワードを複雑化しにくいので定期的変更に意味があるという見方はあります。しかし、結局のところ、類推されてしまう確率(=手当たり次第にパスワード入力をトライして突破されたり盗み見されたりする確率)は同じなので、定期的変更による効果はないと言えます。
ただ、いずれの場合でも、セキュリティ担当の立場では、「定期的にパスワード変更させてるから問題ありません♪」と言えなくなっちゃって、工数やプレッシャーだけが着実に増えていくわけで(笑)
■使いまわしはよくない
これは、その通りです。
とはいえ、ログインするサイトって、10個以上あるのが普通ですよね、今どき。
買い物サイトだけでも、片手じゃ足りません、私の場合(笑)
対応方法としては、まず複雑なパスワードを決めて、それにサイトごとに識別する文字を付加する、って感じですかね。
半、使いまわしにはなってしまいますが...^^;
加えて、どうでもいいサイト(お金が絡まないなど)のパスワードは、複雑なパスワードとは別にしておけば、漏えいによる被害は最小限で済むと思います。
■パスワードは紙に書いても問題なし
パスワードは紙に書き留め、人目に付かないところに保管しておきましょう。
SP800-63に書かれているかどうかは不明ですが、以前いた会社のIT系機器やサーバでは、
「パスワードは紙に書き、金庫などに保管して管理すること。」
と決められていました。
それにしても、「パスワードは紙に書くな!」が定説化してしまいましたね、いつの間にか(@_@)
おそらく、PCでパスワードを使うようになった黎明期の戒めが、曲解されてしまい独り歩きしてしまったんですね...まさに「伝言ゲーム」の典型的例^^;
当時は、パスワード入力という概念がなく、PC操作に不慣れという状況が重なり、操作を円滑に進めることを優先して、紙に書いたパスワードをキーボードや画面に貼り付けることが常態化していました。
それが、いつしか、パスワード漏えいが大問題化する風潮となり、
「パスワード貼り付け禁止!」
が叫ばれたわけですが、これが曲解されてしまい、なぜか、
「パスワードを紙に書くな!」
となってしまったんですね。未だに、ちょっとIT詳しい系の一般ユーザが訳知り顔で、
「なに、パスワードをメモってんだよ!ダメじゃないか!」
って...こういうこと言う人に限って声が大きいから、感化されちゃうんですよね...困ったものです^^;
繰り返しになりますが、
パスワードを紙に書くことはよいが、人目に付くところに「公開」しちゃダメ!
です。
ちなみに、会社の机の引き出しは、人目に付くところ、と考えられます。だって、同僚が不在の時、仕事上仕方なく、同僚の引き出しの中を引っ掻き回すことって日常茶飯事、ですよね(^^)
■パスワード複雑化の必要性は普遍
パスワードの複雑化は、不正アクセスされないためには有効であることに間違いはありません。
例え、強制がなくなったとしても、パスワードの複雑化は必要ですので、お間違いなく(^^)
ちなみに、IPAに複雑なパスワードに関する助言が掲載されているようです。
また、NISC(内閣サイバーセキュリティセンター)は「ネットワークビギナーのための情報セキュリティハンドブック」電子書籍版(KibdleとかGoogle本とか)を無料配布してるそうです。
なお、パスワードの作成に関するノウハウは、出回り始めは有効ですが、認知度が高まるにつれ効果が薄くなっていってしまいます。
ですので、ノウハウをうのみにせず参考程度とし、それとは違う独自のルールを確立し、かつ、誰にも教えない、というのが賢明と考えます^^;
以上です☆