パスワード変更の意味って?
2016/09/09
パスワードをただ変更するだけではあまり意味が無い
http://d.hatena.ne.jp/ockeghem/20101209/p1
こちらのサイトでそのようなご意見を拝見致しました。
このご意見には概ね賛成なのですが、一つ誤解を産んでしまいそうなのでここに補足しておきたいと思います。
パスワードの桁数を変えて更新するのは有効だと思います
攻撃者のPCスペックは年々上がっていくと考えるのは自然なことだと思います。
ならばパスワードも強固なものに変更していくのは妥当な考えではないでしょうか。
どれくらいの周期が良い?
パスワードのトレンド(って言って良いのかな?)を見ていると数字のみ4桁時代から始まり、現在は英数字8桁が最もポピュラーです。
どれだけ高速でPC性能が上がったとしても年一回もしくは二年に一回くらい1桁増やす流れで良いかもしれません。
参考までにパスワードの桁数と破られやすさの話が下記サイトに載っています。
(若干情報が古めです)
http://www.waseda.jp/mnc/letter/2011sep/end_column.html
桁数だけでなく、無作為な文字列であるようにしましょう
せっかくパスワードに気を使っていても、予測されやすいパスワードであれば破られやすくなります。
例えば、弊社であればmagicalという単語はドメイン名(magical3.com)から容易く想像できるのです。
現に、弊社サイトへの攻撃者ログにはmagicalという単語が使われています(こちらはそれを見てニヤニヤしてます)。
あとネット上でよく使う単語(root、admin、administrator、anonymousなど)は辞書アタックで簡単に破られます。
admin0398などの文字列は実質のところ辞書攻撃+4桁扱いとなり、数日で破られる可能性が高いです。
※実質数字列なので、下手をすると数分かもしれません。
パスワードだけでなくユーザー名にも気配りを
パスワードだけに目が行きがちですが、実際の認証はユーザー名とパスワードの組み合わせになります。
ユーザー名も分かりにくいものであれば、よりセキュリティ的には良いといえるでしょう。
とはいえ、ユーザー名はメールアドレスの場合もありますのでなんとも言えないところですが、WordPressのユーザー名などはよく考えて作成したほうが良さそうです。
関連記事
-
-
ホームページなの?WEBサイトなの?
ホームページって言葉は間違いなの? 今時、この話題も出ることは少なくなりましたが …
-
-
スパムメール扱いされた意外な落とし穴
お客さんにメールを送ったら500エラーでケッチンくらいました。 なんでかなーとい …
-
-
jimdo(簡単ホームページ作成サービス)を使ってみた
中小零細企業の味方、ホームページ作成の「マジカルスリー」のだいすけです。こんにち …
-
-
waifu2xで画像拡大 ジャギーよさらば!
waifu2xというサービスをご紹介します。 http://waifu2x.ud …
-
-
無料で使えるイラスト 「いらすとや」さん
WEB屋さんはよくイラストを使います。 とにかく使います。 素材料をいただけるお …
-
-
送料激安クリックポスト!メール便が無くなったので・・・
いつのまにやら日本郵政から新しいサービスが出ておりました。 レターパック(旧:エ …
-
-
建設業者さんのホームページを作る時の注意
自分もうっかり忘れてしまうので同業者さんの備忘録も兼ねてかいておきまーす♪ 建設 …
-
-
Googleで著作権フリーな素材画像・写真・イラストを探す方法
WEBマーケティングで有名な藤村先生に教えていただいたテクをご紹介です♪ ブログ …
-
-
MISOKAで見積書・請求書・入金管理がとってもラクちん!
ご存じですか?MISOKAで今よりラクに見積書・請求書・入金管理する方法 2ヶ月 …
-
-
○のつく日だけバナー表示
こんな感じでどうでしょう。 下記を参考にしてちょっとアレンジしてます。 http …
- PREV
- ハースストーンがやばい
- NEXT
- ○のつく日だけバナー表示