アカウントのセキュリティに関する一般的なアドバイスの1つは、ユーザーがパスワードを定期的に変更する必要があるということです。 このアプローチの背後にある理由は、パスワードが危険にさらされた場合に備えて、パスワードが有効である時間を最小限に抑えることです。 この戦略全体は、AmericanNISTやNationalInstitute of Standards andTechnologyなどのトップサイバーセキュリティグループからの歴史的なアドバイスに基づいています。
何十年もの間、政府や企業はこのアドバイスに従い、ユーザーに定期的に、通常は90日ごとにパスワードをリセットするように強制していました。 ただし、時間の経過とともに、このアプローチは意図したとおりに機能していなかったことが調査で示されました。2017年には NIST 英国と一緒に NCSC、またはNational Cyber Security Centreは、侵害の疑いがある場合にのみパスワードの変更を要求するようにアドバイスを変更しました。
なぜアドバイスが変わったのですか?
パスワードを定期的に変更するというアドバイスは、もともとセキュリティを強化するために実装されました。 純粋に論理的な観点から、パスワードを定期的に更新するというアドバイスは理にかなっています。 ただし、実際の経験は少し異なります。 調査によると、ユーザーに定期的にパスワードを変更するように強制すると、ユーザーは自分が増やすことができる同様のパスワードを使い始める可能性が大幅に高くなります。 たとえば、ユーザーは「9L = Xk&2>」のようなパスワードを選択するのではなく、「Spring2019!」のようなパスワードを使用します。
結局のところ、複数のパスワードを考え出して覚えてから定期的に変更することを余儀なくされると、人々は一貫して、より安全でない覚えやすいパスワードを使用します。 「Spring2019!」のようなインクリメンタルパスワードの問題 それらは簡単に推測でき、将来の変更も簡単に予測できるということです。 これを組み合わせると、パスワードのリセットを強制すると、ユーザーは覚えやすく、 したがって、パスワードが弱くなり、通常、将来を減らすという意図された利点が積極的に損なわれます。 危険。
たとえば、最悪のシナリオでは、ハッカーがパスワード「Spring2019!」を危険にさらす可能性があります。 有効になってから数か月以内に。 この時点で、「春」ではなく「秋」のバリエーションを試すことができ、アクセスできる可能性があります。 会社がこのセキュリティ違反を検出し、ユーザーにパスワードの変更を強制した場合、それはかなりのことです 影響を受けるユーザーは、パスワードを「Winter2019!」に変更する可能性があります。 そして彼らは 安全。 パターンを知っているハッカーは、再びアクセスできるようになれば、これを試すことができます。 ユーザーがこのパターンを維持する期間によっては、攻撃者はこれを複数年にわたるアクセスに使用する可能性がありますが、ユーザーは定期的にパスワードを変更しているため、安全だと感じています。
新しいアドバイスは何ですか?
ユーザーが正式なパスワードを使用しないように促すために、パスワードが侵害された疑いがある場合にのみパスワードをリセットすることをお勧めします。 ユーザーに新しいパスワードを定期的に覚えさせることを強制しないことで、ユーザーはそもそも強力なパスワードを選択する可能性が高くなります。
これと組み合わせて、より強力なパスワードの作成を促進することを目的とした他の多くの推奨事項があります。 これには、すべてのパスワードが絶対最小で少なくとも8文字の長さであり、最大文字数が少なくとも64文字であることを確認することが含まれます。 また、企業は複雑さのルールからブロックリストの使用に移行し始めることをお勧めします 「ChangeMe!」などの弱いパスワードの辞書を使用する 多くの複雑さに対応する「Password1」 要件。
サイバーセキュリティコミュニティは、パスワードが自動的に期限切れにならないようにすることにほぼ満場一致で同意しています。
注:残念ながら、一部の政府では、機密性の高いシステムや分類されたシステムのパスワードの有効期限を要求する法律をまだ変更していないため、シナリオによっては、そうする必要がある場合があります。