【大切なので2回目の復習】パスワードの定期更新が必要なケース

総務省などがパスワードを定期的に変更するのを推奨する理由が非常に残念な可能性

以前の記事で、パスワードを更新する必要があるのは特定のケースだけという話をしました

パスワードを変えるのは

・総当り攻撃が可能なシステムを使うような場合に限って定期的に変える。
パスワードをグループで管理していて、異動など定期的に人の出入りがあるような場合も定期的に変える。
・システムの脆弱性が判明して、パスワードが流出した恐れがある場合も変える。

今話題になってる佐賀県の SEI-NETで数十万人分の個人情報が流出した件ですが、

・重要な管理者パスワードが多人数で共有されていた。
・パスワードがメモ帳などで開ける場所にハードコーディングされていた。
・簡単に記憶できるパスワードだった。
不正ログインなどを把握していたにもかかわらず、3年間変更していなかった
(これも一部のシステムにハードコーディングされていたため、パスワードの変更自体が禁止されて
いた、という恐ろしい話もあります)

ここで、勘違いしてほしくないのは、『やっぱり、パスワードの定期更新が必要だった』ということではなく、
パスワードの定期更新が必要な特殊なケースがあるという話です。



一人の人間が使ってるパスワードを定期的に更新する場合
・パスワードを忘れやすい
・パスワードを覚えやすいものにしがちになる。
・変更時の処理で、フィッシングサイトなどに引っかかる機会が増える。

というデメリットがあります。

今回のケースは多人数でパスワードを共有しているので
・パスワードを忘れやすい → 共有してるので問題にならない。
・パスワードを覚えやすいものにしがちになる。 → パスワードは特定のものを強要するので問題にならない。
・変更時の処理で、フィッシングサイトなどに引っかかる機会が増える。 → パスワードは特定のものを強要するので問題にならない。

デメリットがなくなります!

また、定期的に更新しなかった場合、複数人で共有する場合

・パスワードの流出の機会が多い
・権利を失効した人などが、パスワードを覚えていることになる。

というデメリットがありますが

一人でパスワードを使用する場合は

・パスワードの流出の機会が多い→一人なので非常に機会は少ない
・権利を失効した人などが、パスワードを覚えていることになる。→一人なので問題にならない。

やっぱり、デメリットがなくなります!

|・ω・) 。o ( いかがでしょう? 一人で扱うパスワードと共有パスワードが全く別の性質をもつものであることは分かったでしょうか? )

「パスワードの定期変更はすべきでない」 米研究機関がセキュリティ対策関連の文書で明言 - ねとらぼ

複数の管理者のいる企業の管理パスワードなどもその一つですね!

・個人パスワードは、定期更新は原則必要ない
・共有パスワードは、必ず定期更新する。

以上!

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です