« 電子申告もやっと普及か? | トップページ | マキシム・ド・パリの謎 »

2007年11月 2日 (金)

なぜパスワードを定期的に変更するのか

 銀行のATMやネットバンキングを利用するときなどに「長期間、パスワードが変更されていません。」といった警告が表示されることがあります。しかし、長期間パスワードを変更しないとなぜ危険なのでしょうか?

 あるサイトには、こんなことが書いてありました。
(1)他人に推測されにくいパスワードでも、ハッキングツールを使って長時間かければパスワードが割り出されてしまうこと
(2)仮にパスワードが割り出されてしまっても、なりすましなどの被害を受け続けることを避けることができること

 (1)は、ナンセンスです。ハッキングツールが1111から順番に1112、1113とパスワードを変化させてアタックしている場合、仮に8765というパスワードから4321というパスワードに変更した場合、むしろハッキングツールに補足される確率が上がるし、ハッキングツールが9999から降りてきている場合は、確かにパスワードの変更でパスワード破りに掴まる時点を先延ばしにできるわけです。しかし、あくまで4桁のパスワードなら、9の4乗すなわち6561分の1の確率で、パスワードは破られるので、(1)は、パスワード変更の必然性の理由になりません。

 (2)は、パスワードが破られた場合に、被害が拡がる前にパスワードを変更することで、最低額の被害にとどめることができるというメリットがあります。サーバーのパスワードなら納得できますが、銀行の口座ならどうでしょうか。パスワードが破られたら、毎日50万円とかの引き出し限度額一杯ずつ引き出しが行われていきます。これを避けるには、毎日パスワードを変更しなければいけません。銀行は、そんな馬鹿なことを求めているのでしょうか?

 サーバーなどの場合、こっそり少しずつ情報を引き出したり、トロイの木馬を仕掛けたりといった作業をされないようにするために、毎月パスワードを変更すれば、大きな被害にならないうちに、ハッカーを締め出すことができます。が、銀行は違うわけですね。いったんハッキングされたら、50万円とかの引き出し被害に遭うわけです。でも、たとえば、下記のような案内を銀行はしています(三菱東京UFJです)。
  「お届け済みのパスワードを変更されることをおすすめします。
  パスワードはご本人さまを確認する大切な情報です。
  ダイレクトバンキング用パスワード、インターネットバン
  キング用パスワードについては、お申し込み後直ちに、
  また定期的に変更されることをおすすめします。お手続
  きはお取引き画面、および書面等で随時お手続きいた
  だくことができます。」
  
 待てよ?「お申し込み後直ちに変更しろ」と言っているということは、申し込み直後の犯罪と言えば、銀行内部の人によるものですね。そうかぁ、銀行は、泥棒を飼っている可能性があるから、顧客にパスワードを変更してくれとお願いしているわけですね。これは納得せざるを得ません。皆さん、発行されたパスワードは、受領後、直ちに変更しましょう(^_^)。
 
 で、話は、戻りますが、パスワードを定期的に変更することで、むしろ危険なことも増えると思います。みなさん定番のパスワードを持っていると思いますが、頻繁に変更することで、その定番のパスワードを使い尽くして、結局は、紙に記録しておかないと覚えていられないパスワードだらけになってしまい、その紙を盗まれたとたんにあらゆる財産が危険に直面することになります。

 http://www.pc-view.net/Security/041029/page3.html
には、安直なパスワード変更のリスクといったことも書かれていて、それなりに勉強になります。

 銀行の口座がハッキングされた際に、「あなたは定期的にパスワードを変更していなかったから、銀行は賠償義務を負いません」なんてことを言うためにパスワードの定期的な変更を求めているのだとしたら、銀行の傲慢を責めるべきなのかもしれませんが、果たしてパスワードは、定期的に変更すべきなのでしょうか?

|

« 電子申告もやっと普及か? | トップページ | マキシム・ド・パリの謎 »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/181294/16951821

この記事へのトラックバック一覧です: なぜパスワードを定期的に変更するのか:

« 電子申告もやっと普及か? | トップページ | マキシム・ド・パリの謎 »