私はいったいいくつのパスワードを使っているのでしょう。
毎日たくさんのシステムを使います。
そのそれぞれで認証が行われます。
それだけでも大変なんですが、そのそれぞれの多くのシステムで、定期的なパスワードの変更を促されます。
わかります。
パスワードが長期的に変更されていない場合に危険であることは。
でもいろいろあって大変なんです。
- XXX文字以上でないといけない
- 大文字と小文字と数字を使わなければならない
- 過去に使ったパスワードを再利用してはいけない
- 簡単なパスワードを使ってはいけない
- 複数のシステムで共通のパスワードを使ってはいけない
- 誕生日などの推測しやすい情報を含めてはならない
いろんなルールがありそうです。
でもすぐにわかることなんですが、これらのルールは一つの方法で分類ができてしまいます。
「ルールに沿った内容になっているかを確認しやすいかどうか」です。
文字数や文字種などはすぐに妥当性確認ができます。
なので、パスワード変更操作時に厳しくチェックされます。
そんなにいろいろなパターンの長くて推測が難しいパスワードを考えられるものではないです。
たしかに1つのシステムだけを考えればときどきパスワード変更を要求されるだけです。
でも一人の人が多くのシステムを使いますので、その人にとっては、それなりの頻度で新しいパスワードを考えることになっています。
このため、良くないことと思いながらある程度の法則を作ってパスワードを変更してしまっているという人もいるでしょう。
ある研究によると、ユーザーの以前のパスワードを知っていれば、3秒以内にユーザーの現在のパスワードの41%を推測できるそうです。
そういうことができそうなのは感覚的にわかりますが、その時間の短さと確率の高さに驚きます。
パスワードの定期変更の功罪、難しい問題です。
参考記事(外部リンク):Is it still a good idea to require users to change their
passwords?
thehackernews.com/2021/05/is-it-still-good-idea-to-require-users.html
| この記事をシェア |
|
|---|
