[ホーム] > [間違えやすい類語 IT編一覧] > [パスワード定期更新する、しないの比較及びメリット・デメリット]
(注意)分かりやすく簡単に記載しており、一部の環境や分野では記載内容が異なる可能性があります。あくまでも参考程度でお読みください。
| 説明 | 定期更新する | 定期更新しない |
| 概要 | ユーザのパスワードを定期的(例えば100日ごと)に変更させる。前回変更してから100日経過した場合は、パスワードを変更しないとシステムへログインできない。 | パスワードの定期変更は行わない。 |
| メリット | ・パスワードが盗まれた場合、不正利用されている期間を少しでも少なくする。 ・パスワードハッシュが盗難された場合、パスワード解析作業の効率を悪くさせる。例えば解析作業に200日かかる場合、100日ごとに変更すれば解析作業で解析される確率を低減することができる。 | ・ユーザが複雑なパスワードを設定しやすい。頻繁に変更する必要がないため、複雑なパスワードを頻繁に記憶するという負担がなくなるため。 ・紙に書き出すなどが不要なため、セキュリティレベルが上がる。 |
| デメリット | ・頻繁に変更するためユーザに負担がかかる。 ・覚えるのが大変なので、1文字だけ変更する、数字部分のみ変更するなど簡単なものに変更するため、パスワード変更の意味がなくなる。 ・覚えるのが大変なため、紙に書いたりして、逆にセキュリティレベルが下がる。 | 万が一パスワードが盗まれた場合、長期的に不正利用される可能性があり。 |
| 対処 | パスワード定期変更のルールを廃止して、多要素認証、デバイス認証などパスワードを使用しない方法を検討する。 | ・ログオン時に前回ログオン時に時間を表示し、覚えがない場合は不正ログオンとして対処する ・普段と異なるIPアドレスやデバイスからログオンされた場合に不正ログオンの可能性として警告する。 ・通常と異なる時間(深夜)などにログオンされた場合、不正ログオンの可能性として通報する。 |
| 注意 | ただしサーバ機器など複数ユーザで共通して使用するユーザは、使用後に第三者が強制的にパスワードを変更するなどの対処が必要。 |
(*)Linuxなどでは、パスワード変更時に前回と似たパスワードを禁止することも可能。
参考:前回のサインイン(ログオン)時刻、サインイン失敗の時刻を表示する
関連リンク:
パスワードを攻撃する6種類の方法
[ホーム] > [間違えやすい類語 IT編一覧]
,