「パスワードの定期的変更」は基本的には無意味

2013年8月12日 18:12

 あるAnonymous Cowardのタレコミより。セキュリティ研究家の徳丸浩氏が、「パスワードの定期的変更は無意味である」という理由について語っている(パスワードの定期的変更について徳丸さんに聞いてみた(1)パスワードの定期的変更について徳丸さんに聞いてみた(2))。

 アカウントのセキュリティ対策の1つとして、パスワードを定期的に変更するというのは昔から提唱されている。OSによっては、パスワードの変更後一定期間経つと強制的にパスワードの変更を求めるものもある。しかし、徳丸氏によると、このような一定期間でのパスワードの変更はあまり意味が無いという。

 パスワードの変更に意味があるのは、攻撃者にパスワードが漏洩した後、その攻撃者が長期にわたってそのパスワードを使ってアカウントを監視し情報を盗み取るようなケースのみだという。それよりも、12文字以上の長いパスワードを使うことや、パスワードの使い回しをしない、二段階認証などセキュリティ的に強固な認証機構を利用する、といったことのほうが重要であると述べられている。

 スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

 関連ストーリー:
じゃらん.netとGREEでも外部サービスから流出したパスワードを使用したとみられる不正ログイン 2013年08月10日
「信頼の証」としてパスワードを交換する青少年たち 2012年01月23日
生パスワードを平文メールで送ってくる企業 2010年11月10日
大学パスワード管理の現状 2002年05月05日

 

関連記事

最新記事