« それはこっちの台詞だぁ | トップページ | 税制調査会もがんばっているようですが »

2009年12月 1日 (火)

パスワードの変更を頻繁にするべきか(再考)

 以前、パスワードを定期的に変更する意味はあるのか?という文章を書きました。
http://hsakuma.cocolog-nifty.com/blog/2007/11/post_96af.html

 そしたら、最近では、私と同じ事を考え、さらにきちんと検証したブロガーが出てきているようです。
 http://nmuta.fri.macserver.jp/home240.html
 http://d.hatena.ne.jp/ockeghem/20080226/p1#c1204277483
 http://d.hatena.ne.jp/pochi-p/20090830
 
 この中の最後の文章の中での「もっと効率的なのは、「数回連続で間違えると数分間アカウントをロック」の形があります。1回の試行に1秒かかってる場合は数百倍程度の効果ですが、1ミリ秒とかで試行可能だった場合の効果は絶大となります。何より、回線速度や端末速度等に依存せず期間あたりの試行可能回数を一定に制限出来るのは強みです。」という記述は興味深いです。
 なぜなら、パスワードを総当りで試してくるコンピュータに対抗するには、時間をかけてあげればよいわけです。普通の人がパスワードを入れてエラーが出ると、「あれ?間違えたかな。じゃ、もう一度」と入れなおすまで、1秒くらいはかかります。なので、パスワードを間違えると、1秒だけアカウントがロックされても人間なら問題ありません。しかし、コンピュータの場合、その1秒にパスワードを10回くらい試しちゃうはずなので、1秒のアカウントロックで、コンピュータの性能を1/10にした効果があります。たぶん、そういうことを言っているのだと思います。
 
 しかし、銀行のネットバンキングのハッキングなどであれば、5回のエラーでアカウントがロックされるので、もともとそういうロジックでは動いていないかもしれません。おそらく、「銀行の口座番号を何万と把握しておき、それごとに1回試してエラーなら次の口座へ・・・と繰り返して、また、同じ口座へ戻ってくるのは、1時間後で、それぞれ4回試行したらその日は終了」というロジック。それであれば、上記のpochi-pさんの指摘はうまく当てはまるかどうかわかりません。
 
 でも、いずれにせよ、8桁の数字だけのパスワードを頻繁に変えさせるよりは、ローマ字や記号が混じった長くてその人にしか意味を持たないパスワードを固定的に使うのが良いのではないかと。例えば、「BeethovenSymhpony#9op125"Gatsho"Daisuki!」みたいに英単語としては意味があるものを使っていても、GatshoとかDaisukiという日本語が混じり、記号もあり、数字が4桁は使われ、40桁。ま、システム側の負荷は高まるかもしれませんが、安全ではあります。銀行などもネットバンキングやATMに行くたびに「パスワードが3ヶ月変更されていません」とか表示させるくらいなら、20桁、30桁のパスワードが設定できるようにシステム変更するのが本筋なのではないでしょうか。

|

« それはこっちの台詞だぁ | トップページ | 税制調査会もがんばっているようですが »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/181294/46906428

この記事へのトラックバック一覧です: パスワードの変更を頻繁にするべきか(再考):

« それはこっちの台詞だぁ | トップページ | 税制調査会もがんばっているようですが »