ネットを使っていると、
いたるところでパスワードの設定が求められます。
その内容に色々とルールが設けられていますが、
そうした「ガイドライン」的なものは
時代とともに変わります。
先日、改訂がありました。
パスワードのルール?
ここで言うパスワードのルールとは、
・8文字以上
・半角英数字記号を混在させること
・定期的にパスワードを変更すること
などのことです。
システム・サービスによってルールがマチマチで、
「記号使えないのかい!」みたいな
イラッとすることもありますよね。
NISTのガイドラインが改定
NISTとは、米国国立標準技術研究所のことで、
サイバーセキュリティなどの分野におけるスタンダードを策定・推進する機関です。
フレームワーク等も策定しており、
米国のみならず、世界的にも活用されているものです。
今回、パスワードのルールガイドラインの更新がありました。
特徴的なポイント
・大文字小文字数字記号の混在を「強要するな」
必ず混ぜてください、というシステムも多いですが、
これが、強要はしない方がよい、とい形に変わりました。
強要されると、利用者は予測可能なパターンを使ってしまいがちになります。
例えば、末尾に9Z@を追加する、みたいな話です。
結局、組み合わせの可能性が減ると、総当たり攻撃に弱くなります。
強要しない方が攻撃者からすると難しい、ということでしょう。
※これは「強要するな」なので、もちろんランダム文字列を混在させた方が強いです。
・パスワード回復に「生まれた町は?」といったセキュリティ質問方式は廃止せよ
パスワードリセットする時などに、
本人が知っている情報を確認するケースですね。
これ、昔から
本人「以外」にも知っている人いっぱいいるだろう、と
思っていて、ものすごく危険だと思っていました。
特に、パスワードリセットのケースなので、
いくら強固なパスワードを使っていても
抜け道になっちゃいますからね・・・
私は、どうしてもこの手の質問を登録しないといけない時は、
デタラメな内容を登録しています。
使う時は自分でも分からない(覚えていない)ので、
パスワードマネージャーを確認しないとダメですね。。
最近のセキュリティ対策のススメ
こうしたことは、システム側が対応しないと
どうしようもありません。
なので、使い手として簡単にできることを挙げておきます。
考えすぎても現実的に運用が難しいので、
あまり考えずにできるようにしましょう。
・パスキーが使えるなら、パスキーを使おう
・パスワードマネージャーを活用し、パスワードはランダムに生成しよう
・絶対に奪われてはマズい
「メール」「重要プラットフォーム(Apple Accountとか)」「パスワードマネージャ」だけは
より強固なセキュリティ対策をしよう
メルマガ『Professional's eye』
"意見が持てる"デジタルコラム
週1回配信、3分で楽しめます。
送信いただいた時点で「Privacy Policy」に同意したとみなします。
広告を含むご案内のメールをお送りする場合があります。
