タグ: パスワード変更

パスワード桁数8文字は目安なのか

パスワードも沢山管理していると変更も段々面倒になってきます。
そんな中、米ブログで「強制的なパスワード変更は考え直すときだ」とされる論文が発表されました。それじゃ、パスワードの定期変更を促してきたメーカーの立場は?パスワード変更無駄なの?と思ってしまいます。
個人的には無駄とは思いませんが、パソコンの性能や解析ソフトが進化していけば、簡単なパスワードは解かれるのは時間の問題でしょう。

では本題です

現在、無償で利用できるパスワードチェッカーで組み合わせを調べて見ました。

パスワードチェッカーは目安で使用

2つの無償サイトで比較していますが、パスワードはテスト用として「T_e;/:st」でテストしています。

マイクロソフト
パスワードチェッカー
https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx

MSパスワードチェッカー

カスペルスキー
パスワードチェッカー
https://kasperskylabs.jp/ubi/wd/pwdchk/

kasupeパスワードチェッカー

マイクロソフトの方は有名どころで、パスワードのベストな組み合わせなども説明されている為、初心者でなくても使いやすい所でしょうか。また、パスワード強度判定を行った後、数秒後自動的にクリアされるのも良心的と言えます。

一方、カスペルスキーの方はどの程度で入力したパスワードが解かれてしまうか説明されており、面白いつくりになっています。画像では入力した文字が見えていますが、「*」を押すと文字が伏字になります。

同じパスワードを入力テストして、マイクロソフト側は「普通」、カスペルスキー側は2世紀・・・ほとんどあてになりませんが、判定の目安にはなると思います。

参考リンク
・「パスワードの強制定期変更」は時代遅れ、企業に再考促す(IT Proより)
・コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について(IPA 独立行政法人 情報処理推進機構より)(表:1-1参照)

まとめ

やはり8桁以上文字区別有がベストか
IPA独立行政法人 情報処理推進機構のサイト情報によると、8桁以上で英字(大文字、小文字区別有)+数字がベストな組み合わせと紹介されています。

もっともこれは目安であって、パソコンの性能が進化する事で年々変わっていくのは当然かと思います。

また、8桁以上を推奨されても、サイトによっては桁数に制限がある所もありますし、記号が使えないサイトも存在します。

ネットバンクならともかく、あまり変更に敏感にならなくても良いかも知れません。
ただし、ご自身の誕生日や「12345678」などは論外です。この辺に気を付ければ問題ないと思っています。後は決めたパスワードをしっかり管理する事だと思います。

マウスコンピューター/G-Tune
Pocket

ついに来たOpenSSL対応サイトからのお願い

ついに来たかって感じでしたが、幸いにも情報をもらっているだけのサイトだったので
「パスワードをご変更いただくことを強く推奨いたします」という事でパスワード変更だけで済みました。

では本題です

今回の案内は、迷惑メールでは無い事をサイト元や、登録メールで確認を取った上で変更を行いましたので問題はないと思います。

パスワード変更は充分確認を取ってから

今回の様に、サイトから対応完了のアナウンスがあってから、もしくは、「データ暗号化ソフト「オープンSSL」で脆弱性」で紹介した Heartbleed脆弱性検査を行い、OKであればパスワード変更した方が良いと思います。

OpenSSLの脆弱性の対応が終わってないサイトに対してパスワード変更して、その後サイトから対応終わりましたとアナウンスがあった場合、もう一度変更をしなくてはならず2度手間になってしまいます。

複数サイトでのパスワード使いまわしは危険

これは前々から言われている事ですが、例えば管理しているサイトが3つあったとします。

仮にサイトA、B、Cとしましょう。

パスワード変更が面倒だと、すべて同じID、パスワードにしていた場合Aのサイトが被害にあった時、B、Cのサイトも同じだと、Aサイトで盗まれたID、パスワードからB、Cのサイトへいもづる式に被害にあう可能性があります。

パスワード管理には無料のソフトがいろいろ出ていますので複数サイトを管理する場合はこの手のツールに頼った方が効率と安全性が確保できます。

参考リンク(Heartbleed脆弱性検査サイト)

・シマンテック(SSL Certificate Checker)

・海外サイト(ハートブリード検査)

その他

・IPA 独立行政法人 情報処理推進機構

OpenSSLの脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について

OpenSSLの表記について

上記サイト、IPAやセキュリティベンダーは「OpenSSL」としている事から今後の記事に関しては「OpenSSL」表記に統一していきたいと思います。
なお、すでにUPした記事の表記に関しては 記事全体に問題が生じなければ修正はしない事にしています。

Pocket