TOPSoftware > パスワードの安全性確保、現実的な規則は(後)

Software

パスワードの安全性確保、現実的な規則は(後)

2017/09/21

Ira Winkler CSO

 米国立標準技術研究所(NIST)が、パスワードに関するガイドラインを改訂した。従来のガイドラインは、英数字と記号を組み合わせることや、パスワードを定期的に変更することを推奨しており、セキュリティ専門家からは批判が上がっていた。やっとのことで行われた改訂は、前向きに受け止められている。

前回から続く)

現実的なパスワードポリシーは

 筆者としては、実用的なパスワードポリシーを実現するための妥当なアプローチとして、次のような項目を提案したい。

  • すべてのアカウントに多要素認証を導入する。
  • パスワードセキュリティの意識向上運動を実施して、パスワードの使い回しや書き留めを控えさせる。また、多要素認証で使うデバイスやパスワードを守るよう社員に指導する。
  • ユーザーが選んだパスワードはどれでも使えるようにする。

 多要素認証を導入しない場合については、次のように提案したい。

  • 今後もパスワードの定期的な変更を義務づける。
  • 推測可能なパスワードを防ぐためのNISTのガイドラインを実践する。
  • パスワードでのログインの試行回数に上限を設ける。
  • 意識向上運動を実施し、強力でも覚えやすいパスワードの作り方、パスワードの使い回し防止、パスワードの漏えい防止、フィッシングの防御にスポットを当てる。
  • パスワードで記号の使用を義務づけない場合は、同等の水準のセキュリティを確保できるよう、長めのパスワードを義務づける。

Twitterもチェック

↑ページ先頭へ