・実際、パスワードはどれくらいの頻度で変えるべきですか?
「
マイクロソフト社の研究(PDF・過去記事)によると、「パスワード変更の強制による生産性の低下は、数十億ドルの損害に相当する」
…
たとえ企業がパスワードの有効期限を60日から30日に短縮したとしても、侵入者がハードウェアのリソースを2倍にすれば同じこと
…
侵入者は、1秒間に3480億個のNTLMパスワードハッシュを破ることができるマシーンを持っています
…
一般論として、Schneier氏は次のようにアドバイスしています。
セキュリティが明らかに低いアカウントでない限り、コンピューターや銀行など金融機関のパスワードを定期的に変える必要はありません。企業内で使うログインパスワードは時々変えた方がいいでしょう。また、Facebookについては、あなたの友達、親戚縁者、パパラッチなどがあなたのアカウントを盗聴する危険性を考慮してパスワードの変更頻度を決めてください。ただし、コンピューターを共用していた相手と仲違いした場合は、全てのパスワードを変えてください。
また、二段階認証を備えていないEメール、メッセンジャー、カンファレンスサービスなどのサイトはパスワードを定期的に変更したほうがいいでしょう。
…
パスワードの変更よりも重要なのは、アカウントごとに異なるパスワードを設定すること
」
・Update: New 25 GPU Monster Devours Passwords In Seconds (2012/12/04)
・パスワードの定期的変更に関する徳丸の意見まとめ
・パスワードの定期的変更がセキュリティ対策として危険であることにGoogleとIPAは気づいている (2015/06/10)
・「パスワードの強制定期変更」は時代遅れ、企業に再考促す (2016/03/18)
「米カーネギーメロン大学の調査によると、頻繁なパスワード変更をわずらわしく感じる教職員や学生は、そうでない人よりも推測しやすいパスワードを使っていた
...
NISCによると、「2012年当時は定期的なパスワード管理が有効という話だったが、セキュリティ業界では定期的にパスワードを変更すれば安全だというものではないという考え方が主流」(政府機関総合対策グループ)
」
・関連
No comments:
Post a Comment