日本語
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
スケジュールされたパスワード変更についての考え (ローテーションとは呼ばないでください!)
私たちは皆、他の種類のログイン システムを提供していないオンライン サービスを依然として多数使用しているため、多くの、おそらくほとんどのアカウントでパスワードを使用しています。
たとえば、ちょうど今日、自転車関連の団体に会費を支払ったのですが、その団体が会員カードを送るために住所を尋ねてきました。会員番号を取得できる、とてもシンプルで昔ながらの方法だと思いました。将来、外出中に。
イギリスでは一年のほとんどが寒くてじめじめした天気の中で、携帯電話を取り出したり、信号を待ったり、手袋を外したりすることになります(冬になると手袋を元に戻すのはあまり楽しいことではありません-)水浸し)、アプリ、Web サイト、パスワード、2FA コードなどをいじってみたり…
…まあ、基本的な詳細が記載された防水性、耐衝撃性、電池不要のプラスチック カードを見つけるほど簡単ではありません。
しかし、支払い確認とともに、会員カードが発送中であることを知らせてくれたのは、会員を更新したい場合、または防水性、耐衝撃性、電池不要のプラスチック製カードの交換をリクエストする必要があることを思い出させるものでした。 (残念ながら、紛失防止機能はありません)、グループ Web サイトでアカウントを作成する必要があるので、今すぐパスワードを選択してはどうでしょうか?
簡単に言えば、最初にパスワードを必要としないようにするには、次にパスワードを作成する必要があります。
そして、パスワードが登場するたびに、長年の疑問も浮上します。
すべてのパスワードを常に変更してサイバー犯罪者の急速な標的にするべきでしょうか、それとも最初から非常に複雑なパスワードを閉じ込めて、その後は放っておくべきでしょうか?
実際、これは、Naked Security の長期読者が今朝直面した問題でした。彼の IT チームは、おそらく彼らが直接経験したばかりのサイバーセキュリティ危機のせいで、まさにこのジレンマに直面していました。
どちらが良いでしょうか?
頻繁に変更されない可能性のある複雑なパスワードやパスフレーズ、または定期的に変更される適切に選択されていないパスワードですか?
この件に関する私たちの考えは次のとおりです。
パスワードを定期的に変更しても、魔法のようにより良いパスワードになるわけではありません。
最初により良いパスワードを選択することによってのみ、より良いパスワードが完成します。 (これはパスワードマネージャーが役立つところです。)
Naked Security Live – パスワード マネージャーがハッキングされたらどうなりますか?
言い換えれば、まずユーザーが適切なパスワードを選択できるようにするという問題に対処し、次に、パスワードをすぐに変更する必要があるケースを認識するように奨励することをお勧めします。変更するように指示するスケジュールは必要ありません。
...その場合にのみ、「関係なく定期的に変更する」パスワード ポリシーも本当に必要かどうかを心配する必要があります。
必要がないのに毎月パスワード変更を要求することは、新しいパスワードを安全に保存しないように、または新しいパスワードをずさんに選択するように、または N 個の関連するパスワードを繰り返し繰り返すように、または常にパスワードを更新するだけを人々に勧めているだけです。緊急時であっても 30 日ごと。
そうは言っても、特定の企業アカウントに一定期間アクセスしていないユーザーをロックアウトすることは良い考えです。 (アカウントは最終的には自動的に期限切れになるため、これにより、忘れられたアカウントをある程度防ぐことができます。)
非アクティブなユーザーをロックアウトすることは、単純に定期的にパスワードをリセットすることを強制するよりも煩わしいため、人気がありません。
しかし、誰かが会社アカウントのログイン情報を持っていて、使用していない場合は、たとえば半年や 1 年も使用していないのに、なぜそれがまだ必要なのかを面と向かって正当化するよう強く求めてみてはいかがでしょうか。
結局のところ、ユーザーごとに料金が発生する製品やサービスへのログインであれば、サブスクリプションのコストを節約できる可能性もあります。
そして、本当にアカウントがもう必要ないのであれば、不正行為やサイバー犯罪者が自分たちの名を借りて悪いことをするのを防ぐことで、トラブルを避けることができます。
フォローするTwitter の @NakedSecurity最新のコンピュータ セキュリティ ニュースをご覧ください。
フォローするInstagramの@NakedSecurity独占的な写真、GIF、ビデオ、LOL を入手しましょう!
すべてのパスワードを常に変更してサイバー犯罪者の急速な標的にするべきでしょうか、それとも最初から非常に複雑なパスワードを閉じ込めて、その後は放っておくべきでしょうか? パスワードを定期的に変更することは、強力なパスワードを選択して使用することに代わるものではありません。 パスワードを定期的に変更するよう強制すると、悪い習慣が身につく可能性があります。 パスワード変更のスケジュールを設定すると、緊急対応が遅れる可能性があります。 Twitter の @NakedSecurity Instagram の @NakedSecurity