質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.75%

  • セキュリティー

    433questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

なぜ、定期的に認証番号を変更するのか

解決済

回答 4

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 832

aaaaaaaa

score 461

アメリカのNISTと呼ばれる組織によれば認証番号を定期的に変更を促す制度は良くないそうです。

ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。どこかの1文字だけを順番に変えていくなどのパターンになりやすい。

FC2やら記憶が正しければgoogleなどでも認証番号を定期的に変更するよう促す頁を見ました。個人的にいうと心底面倒くさいので私はこれらの文言は、無視してきました。
開発者側は、利用者がその都度複雑で不法に接続し辛い(クラックし辛い)認証番号を設定してくれるはずだ、と思ったからそのような制度を開発したのでしょうか。それともほかに理由があったのでしょうか。

またチャペヒル校に一理あるのならこれは、破堤した制度だと思うのですが、皆さんならどのような制度を開発して、或いは採用して個人情報などの保安を維持しますか。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

checkベストアンサー

+5

引用テキストノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。どこかの1文字だけを順番に変えていくなどのパターンになりやすい。

これに関しては、以前東邦大学の金岡先生が「パスワード研究の動向」という講演をされていて、そこで紹介されています。その際の講演資料が参考になると思います。

パスワード研究の動向

この講演を私も聴講しました(全体として素晴らしいものでした)が、確かに、パスワードの定期的変更を要求すると、引用されているような変更になりがちであるということを実験データを元に検証されていました。

FC2やら記憶が正しければgoogleなどでも認証番号を定期的に変更するよう促す頁を見ました。個人的にいうと心底面倒くさいので私はこれらの文言は、無視してきました。
開発者側は、利用者がその都度複雑で不法に接続し辛い(クラックし辛い)認証番号を設定してくれるはずだ、と思ったからそのような制度を開発したのでしょうか。それともほかに理由があったのでしょうか。

このあたり、「実はあまり考えていなかった」というのが正解ではないかと推測しています。もちろん、個別のケースについて説明があるわけではないので、あくまで推測です。
もっと言えば、パスワードの定期的変更を求める側は、セキュリティ意識の高い方たちですので、「利用者がその都度複雑で不法に接続し辛い(クラックし辛い)認証番号を設定してくれるはず」という暗黙の了解はあったでしょうが、実際の利用者の意識はそこまで高くなかった、ということになります。しかし、「利用者がその都度複雑で不法に接続し辛い(クラックし辛い)認証番号を設定してくれるはず」という強い信念まではなかったのではないかと思うのです。
また、パスワードの定期的変更を求めること自体はすでに定着した「ベストプラクティス」(とかつては思われていた)わけで、かつ、多くの標準類がこれを求めていました(求めています)。なので、「実はあまり考えていなかった」けれども、パスワードの定期的変更を求めることが行われてきたのではないかと思う次第です。

パスワードの定期的変更をする意義ですが、現実に明確にあるメリットはこうです。サイト管理者や利用者が気づかないうちにパスワードが漏洩していて、不正ログインされ続けるケースがあるとすれば、パスワードを定期的に変更することで、その不正ログインをいったん断ち切ることができます。再度パスワードが漏洩すれば、元のもくあみですが、すくなくとも過去のパスワードでは悪用できなくなるわけです。

また、一つのアカウントを複数人で共有するケースも現実にはよくあるケースです。この場合、そのうちの1人が退職・異動した後でそのパスワードを悪用する可能性があります。この場合、定期的に共用のパスワードを変更しておけば、退職者の悪用を運が良ければ避けられるし、運が悪くてもパスワードを悪用し続けられる状況は回避できます。
もっとも、そもそもアカウントの共有そのものがよくないわけですし、仮に共有しなければならないケースでも、担当者の退職・異動のタイミングでパスワードを変更すれば、退職・異動後の悪用は完全に(運に左右されずに)防げます。

このあたり、多くの現場では、「そこまで深く考えずにパスワードの定期的変更を求めてきた」のではないかというのが私の推測です。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/09/27 23:15

    「テキストノースカロライナ大学チャペルヒル校の調査」は引用したスライドのP58以降をご覧ください。

    キャンセル

+1

皆さんならどのような制度を開発して、或いは採用して個人情報などを保安を維持しますか。

  1. ワンタイムパスワード
    ワンタイムパスワードが安心です。盗まれたときや紛失したときにそれがはっきりわかることが重要です。パスワードや生体認証やパスフレーズの最大の問題点は盗まれたり、漏洩しても気が付かないことです。Google の回し者ではありませんが、スマホにGoogle認証システムを入れて、それに対応するシステムを使うのがベストだと思います。
    私のGoogle認証システムには、 AWS, Gmail, GitHub のシードが入っています。

  2. ログイン状態を保存
    パスワードを入力すると、フィッシングで盗まれる可能性があります。ログイン状態を保存し、滅多なことではパスワードを入力しないくせを付けることが需要です。パスワード入力画面を見た途端に「あれ、この端末ではログイン状態を保存しているはずなのに何でだ?」と不審に思うようになるために出来る限りログイン状態を保存できるシステムを使います。

逆にだめだと思うものに生体認証とマトリックス認証があります。
生体認証はもともと秘密にしていない情報を使っているので、常に盗まれる可能性を考えなければなりません。スマホの本人確認など時間稼ぎ(紛失したり盗まれたときでもすぐには破られない)には十分ですが、認証の基礎とするには脆弱すぎます。
マトリックス認証については、何が安全なのか全く理解できません。パスワードよりビット数が落ちてると思います。乱数で選んでも8文字のパスワードよりもずっとビット数が小さいと思われますが、人間にマトリックスの要素を選択させたら好みが偏るので、実際の情報量はもっと小さいと思います。マトリックス要素の人間が好むパターンの上位100個で辞書攻撃すると、敗れる確率はどのくらいでしょうかね。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

そこからパスフレーズに繋げて連想しますかね

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

既にパスワードが盗まれており、盗んだ人がパスワードを変更せずにこっそり悪用しているようなケースで、その悪用を止めることが出来ます。盗まれていることが前提なので、何だかなぁと思いますが。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.75%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

  • 解決済

    zipにパスワード付与

    バッチファイルを作成しております。 すでに存在しているzipファイル(圧縮済み)にパスワードを付与したいのですが、どのようなコマンドがあるかご教示願います、

  • 解決済

    CentOS 6.8 mysqlにログインできません。

    問題 ローカルホストからログインできない 期待結果 ログインできて作業ができるようになること やったこと セーフモードで起動 ルート権限でmysql動かした

  • 解決済

    password_verifyがうまく使えない

    前提・実現したいこと ① パスワード「aaa」をpassword_hash()でハッシュ化しDB登録 (※wordpressのcommentmetaテーブルにあるmeta_va

  • 解決済

    自動ログイン用のCookie有効期限について

    Webサービスを開発しており、ログイン状態を保持するために、自動ログイン用のCookieを発行しています。 Cookieの中には適当なハッシュ値が入っており、アクセス時にその

  • 解決済

    ターミナルでmysqlにログインできない

    前提・実現したいこと ターミナルでmysqlにログインしたいのですが、拒否されてしまいます。 同じようなエラーでeclipseでsql文を実行しても、アクセスが拒否されてしまします

  • 解決済

    linuxで公開鍵方式のみ設定されたrootにsuするには?

    rootがパスワードではなく、公開鍵でのみログインできる設定の場合、 一般ユーザーでSSHログイン後、su - にてrootに切り替える際に rootのパスワードを聞かれるのですが

  • 解決済

    Wordpressの管理画面で各ユーザーのパスワードを確認したいです。

    Wordpressを用いて会員制の投稿サイトを制作しています。 会員の登録・管理はプラグインの「WP-Members」を使用しています。 登録されたユーザー情報は、Wordpr

  • 解決済

    Spring bootでoracleに接続したいのですが・・・

     Spring bootでOracle Database 12c Enterprise Edition Release 12.2.0.1.0に接続できません。どこを修正すれば接続で

同じタグがついた質問を見る

  • セキュリティー

    433questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。