Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

一石投じるMSのパスワードガイダンス - 多文字種や定期変更は不要、でも多要素認証を

管理者向けとされる具体的な対策を見てみると、同ガイダンスでは、7種類のポイントを挙げている。

そのうち「長い最低パスワード文字数」「複数文字種の組み合わせ」「定期的なパスワード変更」に関しては、不適切な設定であり、一部効果を認めつつも、調査結果から思いがけないマイナスの効果があるとし、中止を提言した。

パスワードは長いほど安全として、短い文字数を拒絶するケースがあるが、同ガイダンスで示したパスワードに最低用いなければならない文字数は、「8文字」。それ以上を強制することの不利益を訴えている。

長いパスワードの強制は、覚えやすい安易なパスワードを選んだり、他サービスのパスワードを使い回しや、PCやクラウド上のドキュメントなどへメモを取る可能性などもあると説明。また最低文字数を長く指定したことによって、攻撃者に文字数を予測させるヒントにもなるとしている。

さらにアルファベットの大文字、小文字、記号を組み合わせ、複雑なパスワードを求めることも、多くの人が最初に大文字、最後に記号を使ったり、「s」を似た「$」で置き換えるなど、攻撃者によって傾向が分析され、効果が薄いという。

定期的なパスワードの強制変更も利用者に負担が大きく、変更時に関連するパスワードを選ぶ傾向があると指摘。変更後のあたらしいパスワードにおいて、17%が古いパスワードより推測できたとするノースカロライナ大学の研究結果にも言及。メリットよりデメリットが大きいとした。

(Security NEXT - 2016/06/03 ) このエントリーをはてなブックマークに追加

PR

関連記事

個情委、人事労務サービスのMKシステムに行政指導 - 報告は3000件超
日立製ディスクアレイシステム「Hitachi VSP」に平文PWをログ保存する脆弱性
USB紛失で町長ら減給、不正利用判明すれば再度処分を検討 - 佐久穂町
「auひかり」向けのブロードバンドルータに複数の脆弱性
USBメモリを紛失、暗号化済みだがPW貼付 - NEXCO西日本
通勤中にUSBメモリ紛失、その後回収 - 新潟県工業技術総合研究所
ランサムウェア被害による情報流出を確認 - アニエスベー
2023年の不正アクセス認知件数、前年比2.9倍に急増
メール覗き見職員を処分、PWなど推測して不正アクセス - 宇陀市
淀川河川公園施設予約サイトのテストサーバで不正通信 - 個人情報流出か