パスワード認証には「なりすまし」や「不正ログイン」以外にもう1つ大きな課題がある。それは、従業員にもシステム管理者にも大きな負担を強いていることだ。辻 伸弘氏に聞く連載最終回。
各団体が提示するセキュリティのガイドラインでは、しばしば「パスワードを定期的に変更せよ」と述べられている。不正ログインの被害にあった企業も、その後の予防策として「念のためパスワードを変更してください」と登録ユーザーへ呼び掛けることが少なくない。では、パスワードを定期的に変更すれば、なりすましの被害は防げるのだろうか?
残念ながら、パスワードの定期変更には限定的な効果しか期待できない。定期的に変更したからといって、それが「123456」や「password01」といった安易なものでは容易に突破されてしまう。大前提としては、まず、十分な長さを持った、複雑なパスワードを設定し、使い回しをなくさなければならないのだ。
パスワードを変更すれば、侵入されてしまった後の被害拡大をタイミングによっては防ぐ効果はあるかもしれない。しかしそれも、長期的に潜伏するタイプの攻撃に対しては効果がある、ということであり、侵入後、即座に情報を盗むことで目的を達成するような攻撃に対しては、その効果は極めて薄い。ではどう考えればいいのか。辻 伸弘氏が解説する。
提供:富士通株式会社
アイティメディア営業企画/制作:TechTargetジャパン編集部