INASOFT 管理人のひとこと


フリーソフトダウンロードサイト「INASOFT」の管理人 矢吹拓也 が日々の「ひとこと」を語るページです。
2021年1月1日より、旧ブログ(blog.inasoft.org)からお引越ししました。
・INASOFT Webサイト: https://www.inasoft.org/
・管理人のふたこと(長文記事/寄稿文): https://www.inasoft.org/talk/
2022年7月下旬より再び本業多忙化してきているため、更新頻度は落ちます。 [2022/7/24 19:32]

目次 | ←前へ / 2018-03-28 00:52 / 次へ→ / 最新へ⇒

■定期的なパスワードの変更は不要…というか問題になることもあるという方針変換だそうで

2018年 3月28日(水) 0:52:00 [さくらのブログから転記]



RSSRSS配信中
https://www.inasoft.org/



総務省が去年(2017年)11月に、パスワードの定期的な変更は不要で、むしろ問題になることがあるという方針に変更したという話が話題になっていました。

実際のところ、3ヶ月に1回の頻度で変更せよとか言われても、どんどん単純かしていったり、末尾だけ数字が変わっていくみたいなパスワードになっていくだけなのはよくある話。さらにセキュリティ強化と称して、パスワード変更時に制限が掛かっていたりしますが、

  • 3回前までと同じパスワードは利用できない→変更時期になると一気に4回変更を行い、最初のパスワードに戻す
  • 1文字だけの変更は不許可→2文字変更する
みたいな回避策をしている人も多かったり。

また、パスワード変更に際して、意図した入力が出来ていなくてアカウントが失効するトラブルもあったりとかして、IT担当者の手間を増やしていたこともあったり。

はやく、身近なところのサービスにも、この方針が浸透してほしいです。

実際、変更しなければならないのは、パスワードの流出が起きた場合くらいなんだとか。

また、複数のサービスで同じパスワードを使い回すのはNG。あるサービスで流出したIDとパスワードのリストを使って、別のサービスにログインを試みる攻撃も確認されていることから、重要でしょう。

なお、サービス側の対策としては、流出に備え、サービス側で保存しておくパスワードはハッシュ化するなどして、元のパスワード文字列が類推しにくいようにするのも重要でしょうね。




目次 | ←前へ / 2018-03-28 00:52 / 次へ→ / 最新へ⇒


目次の表示:


ブログではないので、コメント機能とトラックバック機能は提供していません。ご質問・ご意見等はメールフィードバックまたはTwitter等からお願いします。いただいたご質問・ご意見などは、この「管理人のひとこと」の記事に追加、あるいは新規の記事にする形で一部または全文をそのまま、あるいは加工させていただいた上で、ご紹介させていただく場合があります。
当サイトでは掲載内容による不具合等に関する責任を持ちません。また、内容の正確性についての保証もありませんので、情報をご利用の際は、利用者の自己責任で確認をお願いします。本ページは公開から1年半後の任意のタイミングで削除される予定です。


- 最近の更新 -



3115317 (+0924)[+0733]

Copyright© 2010-2023 INASOFT