パスワード頻繁変更NG
パスワード頻繁変更NG
米調査、生体認証など有効 パソコン、企業は再考を
- 2016/3/9付
- 日本経済新聞 夕刊
【ワシントン=川合智之】企業が従業員にパソコンのパスワードを頻繁に変更するよう義務づけると、かえって安全性が低下することが米国で消費者法制を担う米連邦取引委員会(FTC)と米大学などの調査で分かった。推測可能なパスワードが使われやすくなるためで、FTCのローリー・クレーナー技術責任者は「強制的なパスワード変更は考え直すべきだ」としている。
http://www.nikkei.com/content/pic/20160309/969599999381959FE2E79AE1978DE2EBE2E1E0E2E3E4979394E2E2E2-DSKKZO9820595009032016EAF000-PN1-1.jpg
頻繁なパスワード変更はかえって安全性を低下させることも 米カーネギーメロン大学などの調査によると、頻繁なパスワード変更をわずらわしく感じる人は、そうでない人よりも推測しやすいパスワードを使っていた。「パスワードを変更した年や月の数字を含める人が多い」(クレーナー氏)
3カ月おきに変更を義務づけた学生らのパスワードを調べたところ、以前のパスワードの数字・文字を入れ替えただけのものが多かった。パスワードのうち41%は、解析ソフトで3秒以内に推測できたという。
パスワード変更の義務付けは、パスワード盗難時に情報流出が続くのを防げると考えられてきた。ただクレーナー氏によると「思ったほど有益ではなく、ここ数年の研究によれば逆効果が大きい」という。
米大学の研究者はパスワードの定期変更を中止し、使い捨てパスワードを本人の携帯電話に送る「2段階認証」や、指紋などの「生体認証」に移行するよう勧めている。
