日本もようやく……「パスワードの定期変更は危険」を報じた日経の記事が大きな話題に

1日1回ポチっと押してね m(_ _)m

人気ブログランキング

私の志です→こちらをクリック

twitterhttps://twitter.com/realkeibatoushi
Facebookhttps://www.facebook.com/riarukeiba

昨日塾生から嬉しいメールを頂きました。(⌒-⌒)

***************************************************************

え~~~今更後悔されても、としか言い様がないんですけど。(; ̄ー ̄A

私はパスワード管理アプリとして、ロボフォームを使っています。

 

ソース元

日本経済新聞が26日付で掲載した、パスワードの定期変更が不要であり、かえって危険であると総務省が注意喚起を始めたことを報じる記事が、大きな話題となっている。

これは総務省の「国民のための情報セキュリティサイト」から「定期的にパスワードを変更しましょう」という記述が消えたことを受け、その理由に迫ったもの。

本文中では具体的に言及されていないが、米国立標準技術研究所(NIST)が2016年までに従来の方針を転換したことを受けて内閣官房の内閣サイバーセキュリティセンター(NISC)がこれに同調、2017年秋に「定期変更は不要」との文言を追加し、その流れでサイト上の記述を改定したというのが大まかな経緯。

ネットに詳しいユーザーの間では昨年ごろから常識になりつつあったが、一般のユーザーにとってはまったくの初耳というケースも少なくないようで、戸惑う人も相次いでいる模様。

ともあれ、国内でようやくこうした報道が見られ始めたのはよい兆候で、パスワードの定期変更を押し付けてくる運営者や管理者に反論する根拠ができたという意味で歓迎したい。

 

パスワード「頻繁に変更はNG」 総務省が方針転換(日本経済新聞)

定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の“常識”を覆すような注意喚起を始めた。「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。方針転換に困惑する声も少なくない。

「定期的にパスワードを変更しましょう」。3月1日、総務省の「国民のための情報セキュリティサイト」からこんな記述が消えた。2017年秋に「定期変更は不要」との文言を追加したことを受け、矛盾を解消したという。

パスワードは第三者による「なりすまし」を防ぎ、ネット上の個人情報や財産を守る。ハッカーなどは他人のパスワードを把握しようと、文字の組み合わせを全て試す「総当たり攻撃」や、よく使われる語句を手当たり次第に試す「辞書攻撃」などを仕掛けてくる。

内閣サイバーセキュリティセンター(NISC)が発行する冊子には「パスワードの定期変更は必要なし」との記述がある

 

パスワードの定期変更は不正を防ぐ有効な手段とされてきた。しかしサイバー攻撃が盛んになる中、米国などでは16年ごろから「定期変更を要求しない方がいい」という意見が高まってきた。

日本でも同年12月、サイバー攻撃対策を担う内閣官房の内閣サイバーセキュリティセンター(NISC)が「必要なし」とする見解を示し、これを受けて総務省もサイトを変更した。

IT会社ソフトバンク・テクノロジー(東京)の辻伸弘氏によると、頻繁に変更を求められると、少ない字数で覚えやすい語句を使ったり、変更前と似た語句を使ったりするようになり、他人が類推しやすくなる。

 

例えば「Yamada201803」といった名字と年月、誕生日などを組み合わせ、末尾の数字だけを毎月「01」「02」……と変更する方法だ。

さらに多数の機器やサービスでの定期変更が面倒になり、同じパスワードを使い回してしまうことで、芋づる式に個人情報などを盗まれるリスクも高まる。

 

政府の方針は省庁間でも十分に浸透していない。経済産業省が16年3月に改訂した情報セキュリティ管理基準には「パスワードは定期的に及び必要に応じて変更させるようにする」と明記。同省の担当者は「省庁ごとに基準が異なると混乱を招きかねないため、変更も含めて検討する」という。

東京都内のある機械整備会社は、社員に数カ月ごとにパスワードを変更するよう求めている。担当者は「定期変更が不要とは知らなかった。これまでの呼びかけは何だったのか」とがくぜん。「早めにルールを見直した方がいいのだろうか……」と漏らす。

 

安全なパスワード、どう設定するか?

安全なパスワードを設定するには、どのような点に気をつければいいか。NISCは「英語の大文字と小文字、数字、記号を組み合わせ、少なくとも10桁にするのが望ましい」としている。

規則性のある文字列や単語は使わず、不規則で複雑なものが望ましい。また盗まれた端末からログインされるのを防ぐため、ネット閲覧ソフトに自動でパスワードを記憶させる機能も使わない方がよいという。

変更のタイミングについては「パスワードが破られサービスが不正利用されたことが判明した時。その場合は速やかにパスワードを変更した上で、破られた原因についても特定してほしい」としている。

 

「パスワードの定期変更は正しくない」――考案者が自ら過去の過ちを認める発言(やじうまWatch)

パスワードの定期変更や、パスワードに記号や大文字小文字を盛り込むことは正しくなかった――考案者自身によるこのような告白がWSJに掲載され、世界的に話題になっている。

告白したのは米国立標準技術研究所(NIST)に勤務していた2003年にパスワードの作成および変更にまつわるルールを考案したBill Burr氏。同氏がまとめた手順書「NIST Special Publication 800-63. Appendix A.」はNISTを通じて世界中で使われるようになったが、それらのルールは結果的に間違いであり、ユーザーが真に利用すべきなのは長く覚えやすいパスワードであり、変更するのは90日ごとではなくパスワードが流出した場合のみだったというもの。

このNISTルールはすでに改訂され、現在では定期変更および利用文字についての記述は削除されているが、10~15年にわたって正しいとされてきた常識の誤りが世界中に行き渡るには途方もない時間がかかるとみられ、Bill Burr氏自身は深く後悔しているだそうだ。

NISTの標準化手順を信頼して利用することの多い日本にとっても対岸の火事とはいえず、広く認知されるべき問題であることは間違いない。

 

あのパスワード規則、実は失敗作だった(WSJ)

数字・記号・大文字の組み合わせ、2003年に考案した人物が後悔

パスワード研究者らによると、単語を4つ並べたパスワードの方が、それより短い奇妙な文字の寄せ集めよりもハッカーには破りにくいPHOTO: MOMENT EDITORIAL/GETTY IMAGES

パスワード管理に関する有名な冊子の執筆者ビル・バー氏(72)は、あれは失敗作だったと告白している。

2003年、米国の業界規格設定を手掛ける国立標準技術研究所(NIST)の中間管理職だったバー氏は「NISTスペシャルパブリケーション800-63 別表A」を作成した。8ページのこの文書は、インターネットで使うアカウントを守る方法として、パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていた。

連邦政府機関や大学や大手企業は、パスワード設定の規則を検討する際にこの文書を頼るようになった。

だがバー氏は、アドバイスは結果的にほとんど間違っていたと話す。90日ごとにパスワードを変更するとなると、推測されやすい小幅な変更にとどめる人が大半だという。「Pa55word!1」を「Pa55word!2」に変えただけではハッカーを防げない。

また、小文字や数字や大文字、感嘆符や疑問符などの特殊文字を組み合わせるという、指が絡まりそうなアドバイスも的外れだった。

既に退職したバー氏は「今では自分がしたことの多くを悔やんでいる」と話す。

「800-63」は今年6月に全面改定され、パスワードに関する指令の最悪の部分は捨て去られた。改定には2年かかった。作業を担当したNISTのポール・グラッシ氏によれば、改定は当初、簡単な編集で終わると考えられていた。

 

いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない。これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」とグラッシ氏は述べている。

今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ。

カーネギーメロン大学のロリー・フェイス・クレイナー教授は、使われやすいパスワード500種類を盛り込んだドレスを作った。これを着て2015年のサイバーセキュリティー会議に出席PHOTO: LORRIE CRANO

 

ミネアポリスの見本市ディスプレー会社で顧客リソースを担当するエイミー・ラメール氏は、仕事で数百件のパスワードの管理に1カ月当たり1時間を費やしていたが、これは無駄ではないかと長らく思っていた。「規則のせいでパスワードが覚えにくい」うえに、「リセットが必要になると、さらに時間がかかる」ためだ。

パスワードに関するアドバイスが変わると聞いても怒りは覚えなかった。むしろうれしかったとラメール氏は話している。

パスワード研究者らによると、単語を4つ並べたパスワードの方が、それより短い奇妙な文字の寄せ集めよりもハッカーには破りにくい。文字数が多い方が、それより少ない文字・記号・数字を並べたものより難しくなるためだ。

 

漫画家のランドール・マンロー氏は、広く見られている作品の中で、「correct horse battery staple」を1つの単語に見立てたパスワードを破るのに550年かかると計算している。これに対し、バー氏の古い規則を使った典型的なパスワードの一例、「Tr0ub4dor&3」は3日で破られる可能性がある。マンロー氏の計算はコンピューターセキュリティー専門家の検証を受けている。

NISTによる昔のアドバイスの影響は、連邦政府機関にとどまらず企業のネットワーク、ウェブサイト、モバイル機器など広範に及んでいる。

マイクロソフト のコーマック・ハーリー主任研究員は、人類が1日にパスワード入力に費やす時間が計1300年相当を超えていると話す。同社はかつてバー氏のパスワード規則を採用していたが、現在は違う。

バー氏は、自身のパスワード規則で「人々は怒り狂ったうえに、何をしても良いパスワードを得られなかった」と話している。

過去10年にはハッキングが横行してきた。ハッカーは企業から数百万件のパスワードを盗み、ネットに掲載した。

これにより、ハッカーに強いパスワードの研究に必要なデータが集まった。その結果、人は自分のパスワードを過信していることが分かった。私たちは同じ組み合わせに引き付けられる傾向があるのだ。だが03年には、バー氏がこの現象を理解できるだけのデータはなかった。

ランダムなパスワードが作れると思われていたNISTの規則は「Pa$$w0rd」や「Monkey1!」といった、広く使われる不格好なパスワードを大量に生んだ。ハーリー氏は「自分以外に1万人の人が使っていたら、本当にランダムではない」と述べた。

グラッシ氏は、03年のアドバイスについてバー氏が自分を少し責めすぎだと思っている。「彼のセキュリティー文書は10~15年もった。私は、自分が作成した文書がそれくらい長くもつことを願っている」と話した。

 

 

 

 

 

 

 

 

 

 

 

 

 

**

大橋東洲 プロフィール(学生時代)→ こちら

大橋東洲 プロフィール(社会人から、なぜセブ島へ?)→ こちら

こちらもポチっと押してね m(_ _)m

にほんブログ村 競馬ブログ 馬券生活者へ
にほんブログ村

******************************************************************

過去記事はブログをご覧下さい→http://ameblo.jp/realkeibatoushi/entrylist.htm

 

買い目配信の受け方

 

 

セミナーで実際に投資するところを、目の前で見せました

 

 


 

コメントを残す

Time limit is exhausted. Please reload CAPTCHA.

サブコンテンツ

このページの先頭へ