Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

一石投じるMSのパスワードガイダンス - 多文字種や定期変更は不要、でも多要素認証を

管理者向けとされる具体的な対策を見てみると、同ガイダンスでは、7種類のポイントを挙げている。

そのうち「長い最低パスワード文字数」「複数文字種の組み合わせ」「定期的なパスワード変更」に関しては、不適切な設定であり、一部効果を認めつつも、調査結果から思いがけないマイナスの効果があるとし、中止を提言した。

パスワードは長いほど安全として、短い文字数を拒絶するケースがあるが、同ガイダンスで示したパスワードに最低用いなければならない文字数は、「8文字」。それ以上を強制することの不利益を訴えている。

長いパスワードの強制は、覚えやすい安易なパスワードを選んだり、他サービスのパスワードを使い回しや、PCやクラウド上のドキュメントなどへメモを取る可能性などもあると説明。また最低文字数を長く指定したことによって、攻撃者に文字数を予測させるヒントにもなるとしている。

さらにアルファベットの大文字、小文字、記号を組み合わせ、複雑なパスワードを求めることも、多くの人が最初に大文字、最後に記号を使ったり、「s」を似た「$」で置き換えるなど、攻撃者によって傾向が分析され、効果が薄いという。

定期的なパスワードの強制変更も利用者に負担が大きく、変更時に関連するパスワードを選ぶ傾向があると指摘。変更後のあたらしいパスワードにおいて、17%が古いパスワードより推測できたとするノースカロライナ大学の研究結果にも言及。メリットよりデメリットが大きいとした。

(Security NEXT - 2016/06/03 ) このエントリーをはてなブックマークに追加

PR

関連記事

ランサム被害、SIMカード搭載PCが攻撃起点か - ほくやく・竹山HD
転職支援サイトに不正アクセス - 海外サイトに会員情報
メルアカに不正アクセス、迷惑メールが送信 - 山口県信用保証協会
Check Point機器の脆弱性、当初発表よりも影響大 - 国内で多数機器が稼働
不正アクセスで個人情報が流出、スパム送信も - アイザワ証券子会社
PCとスマホ、網棚から鞄ごと盗まれる被害 - 日刊工業新聞
RIZAPグループの夢展望子会社、公式サイトのドメインを奪われる
先週注目された記事(2024年5月26日〜2024年6月1日)
他職員に対して窃盗や不正アクセスした職員を懲戒免職 - 岐阜県
クラウドの誤設定で顧客情報がアクセス可能に - 衣料品メーカー