• 3012月

    クラウドやWebショッピングなど、いろいろとネットで便利になったこともありますが、反面、それを悪用される危険性もますます増えてきているようで。

    以前は個人情報の流出が恐れられていましたが、最近はどうもアカウントハックが増えてきた印象があります。
    基本的には利用しているサービスがハックされたり、カジュアルハックでパスワードを知られたりといった具合で、IDとパスワードを悪用されるということが多いのでしょうね。

    奇しくも最近は仕事がらみでISO27001を扱ったりしているので、ビジネス周りでもそこは結構問題になることが多いです。
    こうしたリスクをしっかり捉えた方ならまだしも、仕事でちょっとパソコンを使ってるといった方だと、本人任せでパスワードを決めていたら、それはもう脆弱さの象徴みたいなものですからね。
    ひどい人になるとパスワードを付箋紙に書いてパソコンに貼り付ける有様ですから…。

    そこでISMSではきちんとパスワードの管理策が提示されています。
    具体的には11.5.3の「パスワード管理システム」と11.3.1の「パスワードの利用」に書かれていますが、仕事ではないので、わかりやすく要点をまとめると、こんな感じです。

    ・質の良いパスワードを使う

    これは安易に推測されないのはもちろんですが、覚えやすさもポイントです。
    なお、パスワードの強度については色々試しましたが、意外にも(?)マイクロソフトの提供するパスワードチェッカーが使いやすいと思います。
    この時も、あまり難しいパスワードに固執してしまうと、結局不便になって紙のメモを作ったり、クラウド上に忘備録を作ったりと、本末転倒になってしまいがちです。

    ・パスワードは定期的に変更を

    パスワード強度に固執し過ぎるよりも、定期的に変更するほうが良いかと思います。
    もちろん、これも変更しすぎると結局覚えやすいものにしてしまいがちになる危険性がありますから、3ヶ月に一度くらいで良いかと。
    いくつかのサービスにグループ分けして変更していっても良いでしょうし、頻度を上げたい場合はパスワードの前後を分割して後半の数文字を短期間で入れ替えるとかの工夫をすると、覚えやすいみたいです。

    可用性の観点からも、個人的にはサービスごとに個別のパスワードを設定し過ぎるのはあまりオススメしません。
    パスワードを忘れてしまった場合のリスクもありますし、さきほどのようなメモを作ってしまう危険度が高まりますし…。

    ただ、そうはいっても、ひとつのサービスでパスワードが漏洩すると、他のサービスも全滅という事態もありえるわけで、そのケースもパスワードの一部を変えるというのは、使えるテクニックかと。
    その仕掛けを種明かししてしまうと元も子もないわけですが、並び順を工夫したりすれば、簡単に推測できるものではないかと思います。

    全体的にはHPが掲載している記事がよくまとまっていて、非常に参考になるかと思います。
    パスワードを守ることも大切ですが、さきほどの可用性やパスワードが漏れた場合のリスクをあらかじめ低減しておく(ショッピングサイトにカード番号を登録しない、など)のも良いと思いますし、快適なネット環境とうまく共存させたいですね。

    Filed under: その他
    2011/12/30 12:00 pm | パスワード管理も大変 はコメントを受け付けていません。

Comments are closed.