パスワード変更の意味って？

2016/04/26 2016/09/09

パスワードをただ変更するだけではあまり意味が無い

こちらのサイトでそのようなご意見を拝見致しました。
このご意見には概ね賛成なのですが、一つ誤解を産んでしまいそうなのでここに補足しておきたいと思います。

攻撃者のPCスペックは年々上がっていくと考えるのは自然なことだと思います。
ならばパスワードも強固なものに変更していくのは妥当な考えではないでしょうか。

パスワードのトレンド（って言って良いのかな？）を見ていると数字のみ4桁時代から始まり、現在は英数字8桁が最もポピュラーです。
どれだけ高速でPC性能が上がったとしても年一回もしくは二年に一回くらい1桁増やす流れで良いかもしれません。

参考までにパスワードの桁数と破られやすさの話が下記サイトに載っています。
（若干情報が古めです）
http://www.waseda.jp/mnc/letter/2011sep/end_column.html

せっかくパスワードに気を使っていても、予測されやすいパスワードであれば破られやすくなります。

例えば、弊社であればmagicalという単語はドメイン名（magical3.com）から容易く想像できるのです。

現に、弊社サイトへの攻撃者ログにはmagicalという単語が使われています（こちらはそれを見てニヤニヤしてます）。

あとネット上でよく使う単語（root、admin、administrator、anonymousなど）は辞書アタックで簡単に破られます。

admin0398などの文字列は実質のところ辞書攻撃+4桁扱いとなり、数日で破られる可能性が高いです。

※実質数字列なので、下手をすると数分かもしれません。

パスワードだけに目が行きがちですが、実際の認証はユーザー名とパスワードの組み合わせになります。

ユーザー名も分かりにくいものであれば、よりセキュリティ的には良いといえるでしょう。

とはいえ、ユーザー名はメールアドレスの場合もありますのでなんとも言えないところですが、WordPressのユーザー名などはよく考えて作成したほうが良さそうです。

コメントを投稿するにはログインしてください。

: ハードディスクバックアップ－Macrium Reflect FREE Edition

（結果は失敗だったのですが、お役に立つ情報があれば嬉しいので一応UPしておきます …