「パスワードの定期的な変更を義務付け」は本当に有効? 安全な認証方法を探る:パスワード管理の「安全」テクニック(2/2 ページ)
脆弱(ぜいじゃく)なパスワードシステムだが、世界中で多くのユーザーが長い年月使ってきたこの認証方法が消滅すると考えるのは時期尚早だ。パスワードの安全を守るシステムは依然として重要であり続ける。
3つ目のリスクに対処する
私が最近読んだオンラインの悩み相談コラムに驚くべきことが書かれていた。「しばらく付き合っているボーイフレンドがいたら、彼の携帯電話のパスワードを知っているだろう。彼がパスワードを入力するのが見えているから当然であろう」だが、このコラムは正しいかもしれない。オフィスのオープンな空間や共用スペースでは、パスワードを盗み見て、簡単に手に入れることができる。オフィスにパスワードを書いた付せんを置いてある場合も同様だ。
皮肉にも、パスワードを複雑にしすぎると、このようなことが起こるリスクが高まる。パスワードを覚えられなければ書き留めるしかない。書き留めておくと、特に職場の共用スペースでは、他人の目にさらされる可能性が高くなる。これは、機械が生成したパスワードに付随する大きなリスクだ。
より効果的なパスワードのリスク管理
一体何が正しい答えなのだろうか。Nemertes 最高情報責任者(CIO)のジョン・バーク氏に聞いてみた。彼はさまざまな仕事に携わっているが、大学のIT担当者としてまさにこの問題に取り組んでいる人物だ。彼は、万人受けするアプローチを採用することを奨励している。
なお、バーク氏はパスワードの安全性を高めるために以下のことを推奨している。
ユーザーに自分でパスワードを設定させる こうすると、パスワードが覚えやすいものになり、書き留めたり、書き留めたものを置きっぱなしにする可能性が低くなる。
定期的(月に一度が理想的)にパスワードの変更を求め、パスワードの再利用を制限する この2つの対処法により、どのような方法でパスワードを盗まれたとしても、そのパスワードの有効期間を短くできる。SalesforceやMicrosoftなどの、SaaS(Software as a Service)プロバイダーの多くは、ユーザーにパスワードの定期的な変更を義務付け、パスワードの頻繁な再利用を制限している。
比較的長い桁数(8〜10 桁)で数字と文字の両方を使うことを義務付ける 記号の使用は義務付けなくても良いとバーク氏は考えている。だが、英単語の使用は避けるのが賢明だ。
バーク氏のパスワードを安全に使用するためのアドバイスで最も興味深いのは、ユーザーの意識とトレーニングに関するものだ。バーク氏は、セキュリティの専門家がユーザーにパスワードを作るための方法を教えることを推奨している。そうすれば、ユーザーは、覚えやすく安全性の高いパスワードを作成できるようになり、パスワードの変更についても心配する必要がなくなる。
バーク氏が使っている方法では、知っている曲であまり有名ではない曲の歌詞を使用する。その歌の冒頭にある3つの単語の頭文字を選び、その後に3桁の数字を続け、冒頭から4〜6つ目の単語の頭文字を続ける。次のパスワードは、最初の3つの単語の2文字目をベースにし、数字は1つずつ増やす。
パスワードを作る方法はいくらでもある。筆者も意味を持たないフレーズを作る独自の方法を持っている。大切なのは、ユーザーが盗まれにくくて覚えやすいパスワードを何個も作り出すときに頼りにできる自分独自の方法を用意することだ。
併せて読みたいお勧め記事
パスワードに代わる認証とは
パスワードを安全に使用するためのトレーニング
パスワードシステムのトレーニングは、全従業員のセキュリティトレーニングに組み込まれるべきだ。パスワードのトレーニングでは、防ごうとしているリスクとパスワード作成システムの整備方法をユーザーに理解してもらう必要がある。つまり、有効なパスワードを機械的に教えるのではなく、なぜそのようなパスワードが必要なのか、どうやって作成するのかを説明することが大切なのだ。
トレーニングを効果的に行うには、企業文化と既に実施されているトレーニングプログラムが大きく関係する。だが、一般的にはユーモアと対話型のアプローチが大いに役立つ。例えば、システムの設定を対話型のゲーム形式で行い、良いシステムにはポイントを与えるといったアニメーションビデオクリップを想像してみてほしい。前述の自動機能に加えて、これはパスワードを定期的に変更するように強制しているようなものである。
強力なパスワードも結構だが、実際の運用では賢く作られたパスワードが望ましいだろう。そして、ユーザーがしっかりとした教育を受け、問題と問題の解決方法を知っていることも大切だ。
Copyright © ITmedia, Inc. All Rights Reserved.