セキュリティのトピックス-PR-
「パスワードの強制定期変更」は時代遅れ、企業に再考促す
「強制的なパスワード変更は考え直すときだ」。米国で消費者の保護を担う連邦取引委員会(FTC)のローリー・クレーナー最高技術責任者が2016年3月2日に公表したブログが国内外で反響を呼んでいる。情報セキュリティ対策として定期的なパスワード変更をユーザーに強制するのは、「かつて考えられてきたよりも有益ではなく、むしろ逆効果となる場合がある」という。実は国内でも既に同じ議論があり、2014年の政府機関の情報セキュリティ基準では「定期変更の徹底」という文言が消えた経緯がある。
「情報セキュリティは、時間の経過とともに新たに登場する脅威や新たな対策によって変わる」。こんな書き出しで始まるブログは、ユーザーにパスワードを頻繁に変更させることは、攻撃者にとって推測しやすいものにしてしまうとして、長年行われてきた情報セキュリティ対策の見直しを求めている。
ブログでは、パスワードの有効期限を定めた場合について、米大学で行われた数々の実例を基にした研究を紹介している。このうちノースカロライナ大学の研究者は、3カ月ごとにパスワード変更を求められていた学生や教職員らの1万件以上の過去のアカウントを調べた。研究者はハッシュ化された5万1141個のパスワードを格納したファイルをオフラインで解析するツールを使って、ありがちなパスワードから類推して3カ月かけて60%を判別。7752件のアカウントについて、最新のものではないパスワードを入手した。
それによると、ユーザーは以前使っていたパスワードを元に推測しやすいパスワードに変えていたという。例えば、数字や文字を増やしたり、文字の「S」を「$」に入れ替えたりしたものや、最初と最後の数字や文字を入れ替えたりしたものが多かった。クレーナー氏は「覚えやすいようにパスワードを変更した年や月の数字を含める人が多い」という。
そこで、こうした数字や文字のありがちな入れ替えを基にさらに解析したところ、最新のパスワードのうち41%は、解析ツールで3秒以内に推測できたという。つまり、攻撃者が同じアカウントのパスワードで数字や文字の入れ替えを見つければ、ユーザーがパスワードを変更してもすぐに分かってしまうという。
連載新着記事一覧へ >>
- 世界最大のデータセンター事業者エクイニクス、「クラウドエクスチェンジ」を国内で本格展開へ (2016/03/17)
- 「どんなサイトも丸裸に」、SimilarWebの手法はありなのか (2016/03/16)
- AlphaGoの「圧勝」から見えた、ディープラーニングの強みと課題 (2016/03/15)
- 堺市68万人全有権者情報流出の教訓、行き過ぎた自作アプリ活用が事件招く (2016/03/15)
今週のトピックス-PR-
ITpro Special
Pick Up!
- ポケットサイズの「企業の重要資産」とは?
- わずか1行のコードがITインフラを制御可?
- 調査結果が示す!モバイルワークのリスク
- FacebookやアリババがOSSを使う理由とは
- セキュリティ現場は皆がデータ流出経験者?
- コスト削減と資源管理が可能なクラウドとは
- 48時間で影響分析完了!? ERP移行の新常識は
- Ruby biz グランプリ2015
- ワークスタイル変革に関する調査
- ワークステーションと高性能PCに関する調査
- 戦略的な仮想化基盤とは?/三協立山事例
- OKIデータのビジネス複合機の魅力を解説
- コンパクトな複合機がビジネスを変える!
- クラウド型コンタクトセンター活用事例
- 安全、IoT――。日本発の次世代工場に迫る
- レノボとニュータニックス、成長市場で協業
- IoT活用を広げるインテルの「2つの取り組み」
- MS、サーバー診断サービスを無料で実施
- Windows10への引っ越しツール
- 京セラのアメーバ経営を支援するクラウド
- クラウドビジネスの立ち上げを支援します!
- ストレージは今、50年に一度の大変革期に
- “アイデアエコノミー”の時代がやってきた
- 池澤あやかがIBM Bluemix Watson APIを学ぶ