元NWエンジニアが語るブログ

NWエンジニアの思いの丈サイト

定期的パスワード変更

最近、定期的パスワード変更について、ツイッターやBlogなどで取り上げられています。

問題の焦点になっているのが、定期的なパスワード変更が有効なのかどうかです。
パスワードクラック攻撃毎で比べて見ましょう。
◾︎ブルートフォースアタック
ブルートフォースアタックについては、パスワードを定期的に変更したとしても有効性がありません。なぜならば、ブルートフォースアタックは一つのIDに対して、パスワードを一から順に総当りする攻撃であるため、定期的に変更した場合でも有効ではないのです。

■パスワードリスト攻撃
パスワードリスト攻撃とは、「ユーザIDとパスワード」の組み合わせを用いてWebサイトなどに不正ログインする攻撃です。最近では、ブルートフォースアタックよりも攻撃成功率が高いため、注目を上げています。

大流行中の「パスワードリスト攻撃」に企業はどう対策すべきか (1) 成功率が高く、対策も面倒な「パスワードリスト攻撃」 | マイナビニュース

 この攻撃は「パスワードリスト」という参照リストを使用するのですが、パスワードを変更することで、攻撃に使用するパスワードリストにエントリされにくくなります。そのため、パスワードの定期変更は有効な対策と言えます。

■サービス運営側でもパスワードクラック対策が導入されています。

しかし、これだけではユーザー情報が完全に守られる訳ではありません。
実際に、ユーザー情報が漏れている事例も発生しています。


このような事案が発生してしまうのは、サービス提供側の対策次第です。
しかし、ユーザー側も被害を軽減する対策があります。例えば、ユーザーは各サイトのアカウントに使用するパスワードを変える必要があります。各サイト毎にパスワードを変えることにより、一つのサイトでパスワードが漏洩した場合でも、他サイトのユーザーアカウント情報が流出することを防ぐ事が可能になるのです。
しかし、各サイトのアカウントを管理するのは難しいです。そこで使われるのが、パスワード管理アプリです!例えば、トレンドマイクロさんのパスワード管理アプリ。
この様なパスワードアプリを使用すればアカウント情報を容易に管理することができるでしょう。
 
まとめ
個人情報漏洩という事件が多く発生しています。当然サービス提供側の対策が必須ですが、ユーザーにもできる対策があることをあることを知って欲しいと思います!

以上、chocoでした( ´ ▽ ` )ノ