Mar 13, 2017

パスワード考 3/13

・実際、パスワードはどれくらいの頻度で変えるべきですか?
 http://www.lifehacker.jp/2012/12/121217changepassword.html
マイクロソフト社の研究(PDF・過去記事)によると、「パスワード変更の強制による生産性の低下は、数十億ドルの損害に相当する」
たとえ企業がパスワードの有効期限を60日から30日に短縮したとしても、侵入者がハードウェアのリソースを2倍にすれば同じこ
侵入者は、1秒間に3480億個のNTLMパスワードハッシュを破ることができるマシーンを持っています
一般論として、Schneier氏は次のようにアドバイスしています。
セキュリティが明らかに低いアカウントでない限り、コンピューターや銀行など金融機関のパスワードを定期的に変える必要はありません。企業内で使うログインパスワードは時々変えた方がいいでしょう。また、Facebookについては、あなたの友達、親戚縁者、パパラッチなどがあなたのアカウントを盗聴する危険性を考慮してパスワードの変更頻度を決めてください。ただし、コンピューターを共用していた相手と仲違いした場合は、全てのパスワードを変えてください。

また、二段階認証を備えていないEメール、メッセンジャー、カンファレンスサービスなどのサイトはパスワードを定期的に変更したほうがいいでしょう。
パスワードの変更よりも重要なのは、アカウントごとに異なるパスワードを設定すること

Update: New 25 GPU Monster Devours Passwords In Seconds (2012/12/04)
 https://securityledger.com/2012/12/new-25-gpu-monster-devours-passwords-in-seconds/

・パスワードの定期的変更に関する徳丸の意見まとめ
 http://tumblr.tokumaru.org/post/38756508780/about-changing-passwords-regularly

パスワードの定期的変更がセキュリティ対策として危険であることGoogleIPAは気づいている(2015/06/10)
 https://www.maruoka-digital.jp/blogcontent/260610387/

・「パスワードの強制定期変更」は時代遅れ、企業に再考促す (2016/03/18)
 http://itpro.nikkeibp.co.jp/atcl/column/14/346926/031600480/
「米カーネギーメロン大学の調査によると、頻繁なパスワード変更をわずらわしく感じる教職員や学生は、そうでない人よりも推測しやすいパスワードを使っていた
...
NISCによると、「2012年当時は定期的なパスワード管理が有効という話だったが、セキュリティ業界では定期的にパスワードを変更すれば安全だというものではないという考え方が主流」(政府機関総合対策グループ)

・関連
http://akasaka-taro.blogspot.jp/2017/02/0209.html

投稿者 時刻:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)