パスワード定期更新する、しないの比較

スポンサード リンク

このページではパスワードの定期更新が必要か不要かに関して比較表で検討してみます。昔からパスワードの定期更新は必須と言われていましたが、最近の研究では逆にパスワード定期変更はセキュリティで問題が発生するともいわれています。

スポンサード リンク

(注意)分かりやすく簡単に記載しており、一部の環境や分野では記載内容が異なる可能性があります。あくまでも参考程度でお読みください。

説明定期更新する定期更新しない
概要ユーザのパスワードを定期的(例えば100日ごと)に変更させる。前回変更してから100日経過した場合は、パスワードを変更しないとシステムへログインできない。パスワードの定期変更は行わない。
メリット・パスワードが盗まれた場合、不正利用されている期間を少しでも少なくする。

・パスワードハッシュが盗難された場合、パスワード解析作業の効率を悪くさせる。例えば解析作業に200日かかる場合、100日ごとに変更すれば解析作業で解析される確率を低減することができる。

・ユーザが複雑なパスワードを設定しやすい。頻繁に変更する必要がないため、複雑なパスワードを頻繁に記憶するという負担がなくなるため。

・紙に書き出すなどが不要なため、セキュリティレベルが上がる。

デメリット・頻繁に変更するためユーザに負担がかかる。

・覚えるのが大変なので、1文字だけ変更する、数字部分のみ変更するなど簡単なものに変更するため、パスワード変更の意味がなくなる。

・覚えるのが大変なため、紙に書いたりして、逆にセキュリティレベルが下がる。

万が一パスワードが盗まれた場合、長期的に不正利用される可能性があり。
対処パスワード定期変更のルールを廃止して、多要素認証、デバイス認証などパスワードを使用しない方法を検討する。・ログオン時に前回ログオン時に時間を表示し、覚えがない場合は不正ログオンとして対処する

・普段と異なるIPアドレスやデバイスからログオンされた場合に不正ログオンの可能性として警告する。

・通常と異なる時間(深夜)などにログオンされた場合、不正ログオンの可能性として通報する。

注意ただしサーバ機器など複数ユーザで共通して使用するユーザは、使用後に第三者が強制的にパスワードを変更するなどの対処が必要。

(*)Linuxなどでは、パスワード変更時に前回と似たパスワードを禁止することも可能。

関連リンク:
パスワードを攻撃する6種類の方法
メモ帳、ワードパッド、ワードの違い

スポンサード リンク







【注意】本ページは著作権で保護されています。内容は何人も補償しません。時間的あるいは金銭的損失等、一切保証しません。

理解しやすく記載されており、一部不正確な記載がある可能性があります。ご自身の責任で参考にしてください。