TOPSoftware > パスワードの安全性確保、現実的な規則は(前)

Software

パスワードの安全性確保、現実的な規則は(前)

2017/09/19

Ira Winkler CSO

 米国立標準技術研究所(NIST)が、パスワードに関するガイドラインを改訂した。従来のガイドラインは、英数字と記号を組み合わせることや、パスワードを定期的に変更することを推奨しており、セキュリティ専門家からは批判が上がっていた。やっとのことで行われた改訂は、前向きに受け止められている。

 筆者は、この新しいガイドラインを読んで、ごく一般的な攻撃への備えが十分でないことに驚いた。簡単に言うと、このガイドラインでは、認証にパスワードだけを使っているユーザーたち、つまり現時点で大多数にあたるであろうアカウントが、これまでより脆弱になってしまう。

 このガイドラインでは、パスワードに焦点を当てているのは文書全体の一部分のみで、それ以外の大部分は、パスワード以外の認証手段(例えばトークン認証)を取り上げている。パスワードのみを使った認証は、レベルの低いアカウントに関してのみ認めている。一般論としては、パスワードのみの認証にするかどうかはリスクに基づいて決めることだが、現実には、パスワードのみに頼っているアカウントが大半だ。

Twitterもチェック

↑ページ先頭へ