パスワードの90日変更ルールってどこから来たの?

よく聞く「パスワードの定期的な変更」のルール、
どこから来たのか?どうするのがいいのか?


パスワードの定期的な変更が推奨されるのは、
3回間違えたらアウト!のような、
ログイン失敗回数制限ができないシステムの場合です。

パスワードの定期的な変更で、
時間さえあれば100%の確率でパスワードが破られるという危険を
回避することができます。
……といいたいところだけど、何か引っかかる方は敏感だと思います。
結構突っ込みどころはあります。

「パスワードの定期的な変更」は、
こういう理屈とは別次元の理由から言われていると考えています。
(あまり強い根拠は見当たらず、気休めという説明が一番納得できます)

理屈では、手入力できる程度のパスワードは
総当り攻撃を受ける環境にある時点で負けです。

正しい対策は、総当り攻撃をできないようにすることです。
(それが前述のログイン失敗回数制限などのこと)

だから、
Yahoo!は怪しいログインに対してIP制限をかけたり、
Googleは数回間違えるとCAPTCHA(あの読みにくい文字)を入力させたりする。
Linuxにも攻撃しにくくさせる機能があります。

Windowsにもそういう機能があるといいですね。

自分が開発するシステムなどでも、
次のような機能を考えておくとよいと思います。

・ 所定の回数間違えたら所定の時間ロック
・ CAPTCHA機能
  → システム的に攻撃を避ける機能

・ ログイン履歴、不正ログイン履歴
・ 不正ログインを管理者に報告
  → 報告をすれば短時間で管理者が対策を取れる機能

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です