マジカルスリー・だいすけのなりゆき長者ブログ

沖縄/大阪WEB広告・ホームページ制作・印刷物制作 マジカルスリー 「福」代表のブログ

*

パスワード変更の意味って?

      2016/09/09

Pocket

computer_password

パスワードをただ変更するだけではあまり意味が無い

http://d.hatena.ne.jp/ockeghem/20101209/p1

こちらのサイトでそのようなご意見を拝見致しました。
このご意見には概ね賛成なのですが、一つ誤解を産んでしまいそうなのでここに補足しておきたいと思います。

パスワードの桁数を変えて更新するのは有効だと思います

攻撃者のPCスペックは年々上がっていくと考えるのは自然なことだと思います。
ならばパスワードも強固なものに変更していくのは妥当な考えではないでしょうか。

どれくらいの周期が良い?

パスワードのトレンド(って言って良いのかな?)を見ていると数字のみ4桁時代から始まり、現在は英数字8桁が最もポピュラーです。
どれだけ高速でPC性能が上がったとしても年一回もしくは二年に一回くらい1桁増やす流れで良いかもしれません。

参考までにパスワードの桁数と破られやすさの話が下記サイトに載っています。
(若干情報が古めです)
http://www.waseda.jp/mnc/letter/2011sep/end_column.html

桁数だけでなく、無作為な文字列であるようにしましょう

せっかくパスワードに気を使っていても、予測されやすいパスワードであれば破られやすくなります。

例えば、弊社であればmagicalという単語はドメイン名(magical3.com)から容易く想像できるのです。

現に、弊社サイトへの攻撃者ログにはmagicalという単語が使われています(こちらはそれを見てニヤニヤしてます)。

あとネット上でよく使う単語(root、admin、administrator、anonymousなど)は辞書アタックで簡単に破られます。

admin0398などの文字列は実質のところ辞書攻撃+4桁扱いとなり、数日で破られる可能性が高いです。

※実質数字列なので、下手をすると数分かもしれません。

パスワードだけでなくユーザー名にも気配りを

パスワードだけに目が行きがちですが、実際の認証はユーザー名とパスワードの組み合わせになります。

ユーザー名も分かりにくいものであれば、よりセキュリティ的には良いといえるでしょう。

とはいえ、ユーザー名はメールアドレスの場合もありますのでなんとも言えないところですが、WordPressのユーザー名などはよく考えて作成したほうが良さそうです。

 

 - お仕事の事

Message

メールアドレスが公開されることはありません。

  関連記事

Googleで著作権フリーな素材画像・写真・イラストを探す方法

WEBマーケティングで有名な藤村先生に教えていただいたテクをご紹介です♪ ブログ …

はかどる!Office Lens スキャナ、OCRがスマホでできる!

仕事上、紙の媒体をもらってWEBに起こすってことがとても多いのですが、今までは手 …

社判、会社の印鑑はどこが良いのかな?という人に

なんか、「回し者か!」って声が聞こえてきそうですが いつも購入してるハンコ屋さん …

gmailで容量いっぱいになった時にすること

gmailの最大容量は15GB。大変大きいですが、いずれはなくなるものです。 g …

セキュリティって気をつけた方がいいの?

もちろんセキュリティは気をつけたほうが良いです! 私個人としてはセキュリティを語 …

手っ取り早く売りたい人向け!BASEはすごい!

BASEすごいですよ お客様の依頼でBASEを触ってみたのですが、これすごいです …

デザインで思うこと

よくデザインを作っている時に「ありきたりで陳腐なデザインだなあ」と思うことがあり …

忘備録-CPIメールのパスワードルール(文字数・規則)

いつも忘れるのでここに書いておきます(´∀`) アカウント名の規則 メールアカウ …

スパムメール扱いされた意外な落とし穴

お客さんにメールを送ったら500エラーでケッチンくらいました。 なんでかなーとい …

SSLを使わないと検索エンジンに表示されなくなる・・・かも?

SSLって暗号化のことでしょ?なんで検索エンジン? SSLがSEO(検索エンジン …