お疲れ様です。
Takkoです。
①文字種制限
よくあるパスワードの文字種制限について質問なのですが、
実際いろいろなサイトで、半角数字、大文字、小文字、記号のいずれかを3つ以上含む8ケタ以上のパスワード
なんていうパスワード設定条件があったりしますが、
これはセキュリティー上、効力を発揮するのでしょうか。
文字数の制限は含めてもいいにしても、
暗号化するなら文字種が1種だろうが、2種だろうが、関係ないように思います。
そもそもそのような制限のせいで、ユーザがパスワードを忘れてしまわないよう、
デスクトップにメモ帳などでパスワードを記述している例もなくはないと思います。
確かに1111111111のような単純すぎるパスワードの抑止にはなるのかも知れませんが、
同じ文字の羅列を禁止する程度でもよかったのではと思います。
②期間ごとの変更の意味
これもまたユーザがパスワードを忘れる要因の一つではないでしょうか。
それにDBからの情報流出や、パスワード入力画面を見られた時の場合のパスワードって、
新しくしてようが、古いままであろうが、その瞬間のパスワードを見られたら変更した意味が関係ありませんよね。
メリットよりデメリットが多い気がしなくもないのですが、
これはなぜ一般的にこいうルールになっているのでしょうか。
現にキャッシュカードの引き出し用パスワードなんかは、数字4ケタでパスワード変更の強制はありませんし、
不思議でたまらないです。
ワンタイムパスワードはいいと思います。
以下自分なりに調べてみてこのサイとにたどり着きました。
結局、最近のUNIX系OSでは、シャドウファイルというファイル(一般ユーザには見えない)にパスワードが格納されており、パスワードを定期的に変更する必要はなくなりました。とありますから、1はもういいのですか?
長期的に悪用される場合とは?気づいた時点での変更と、定期的に変更で違いがあるのですか?
期間が設定されているがゆえに、次のパスワード変更まで安心だという慢心が生まれそうですが。
なぜでしょう。。
回答4件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。