パスワードの定期変更
久々にいろんな記事を読んでたらほ~と思うものがあったのでメモ。
パスワードの定期変更という"不自然なルール"(3/4) - @IT
昨今のセキュリティ事情を考慮すると、「パスワードの定期な変更」は、いまやあまり意味をなさなくなってきている。にもかかわらず、守るべき情報資産の質(=前述の短期的か、長期的か)を考慮せず、おまじないのように定期的なパスワード変更を要求するシステムは少なくない。
しかし、この無批判な運用がかえって、パスワードの質を低下させる危険性を含んでいるのだ。
昔は確かにそうだったかもしれないけど、自宅のパソコンなんかほぼ変更しないな。変更して忘れたら大変なことになる。最悪、OSの再インストールが待ち構えている。
知ってる会社でも結構短いスパンでパスワード変更(ADのポリシーで設定されている)を強制させられる。パスワード変えた直後が一番パスワードを間違えやすい。特に大文字・小文字・記号を含ませなければならなくなると簡単にアカウントロックの餌食になってしまう。
頻繁に変えるのってお金がらみのものパスワードくらいかな。重要なものは別途ロックをして保管しているので私のパソコンのパスワードがばれても問題はすぐには発生しない。仕事場でも同様じゃないかな。
逆にアカウントの権限だけで重要なファイルにアクセスできる様な管理だと、余り意味内容だよな。
パスワードの定期的な変更によって生じる運用負荷について考えてみよう。「パスワードを忘れてしまったので情報システム室に問い合わせる」「リセットして再設定を行う」といった作業がすぐに思いつくのではないか。読者の中にも、パスワードに関する問い合わせで担当者の手を煩わせた(あるいは煩わされた)記憶がある方は少なくないはずだ。
思うんだけど、全ての権限を持つアカウントが幾つ設定されているのかわからないけど、管理者がパスワード忘れたらどうするんだろう。
よくテストでWindows Serverをインストールするんだけど、デフォルトで結構面倒なパスワードを設定しないといけないポリシーが設定されている。緩めればいいのだが、そこが主じゃなくアプリケーションのテスト等が主な目的なので、数週間後に立ち上げるとパスワードが分からなくなっていることは多々あったりします。まあ、VMでやってるので環境の作り直しは面倒じゃないけど、実機だとドライバーやら何やら面倒だろうな。
まあ、普通の会社なら複数人が管理者の権限があるので問題にはならないんだろうけど、パスワードを変更するなとは言わないが、もう少し長いスパンで変更してもそれほど変わらないような気がするんだけど。
どっかの会社で仕事した時は一か月の間に6回もパスワードリセットする羽目になったな。別にパスワードを忘れたわけじゃなく、ログインは出来るんだけど、メールサーバーに繋がらないとか、更にはアドレス帳に名前が出ないとか、ADで管理されてるので何かの不都合があるとリセットする羽目になるんですよね。そんで、過去に使ったことのあるパスワードは使えないので新しく考えるのがまた面倒。忘れちゃいけない事ですからね。
あらためて、強固なパスワードを設定することの重要性を認識していただけたと思う。そして、パスワードの定期的な変更は無意味だとまではいわないが、それよりも先にパスワードの使い回しについて考え直す方が有効ではないかと筆者は考える。
これ、同感だな。
特にネットゲームとか共通のIDとパスワード使ってたら、ハックされまくりだな。でも、パスワードマネージャー等の利用をしてないと、忘れた時には既に遅し。
ノートンのIDセーフがあるから、ネット関連は気軽にパスワード変更できるけどね。どんなに強固なパスワードを設定しても、IDセーフが覚えてくれるから安心。パスワードを変更した時にはバックアップも取っているので、更に安心。
フリーのとかでもIDマネージャーみたいなソフトがあるけど、使ったことなかったりする。あれも同じ感じで使えるのかな。
最後に、一度この記事を最初から読んでみてください。結構いい加減な提灯記事を書く人もいるけど、まともな事書いて掲載されているなんてそうはありませんからね。特にレビュー記事は。