Entry: main  << >>
結局のところパスワードを定期的に変更するのは良いのか悪いのか?
0
    パスワードを定期的に変更するのは個人がそれを良しとして行うのは(あまり意味はないと思うが)別に構わないが、
    企業がそれを良しとしてユーザーに強制するのは利よりも害のほうが大きい。
    この話のまえに、最近、2要素認証のフィッシング詐欺が増えているという記事を見て、やはりそうなってきたという感想しかない。以前に指摘したとおりで、7Pay問題があったときにマスコミや専門家がやたら2段階認証をおすすめしていたので、詐欺側が対応してそうなるのは必然とも思える。2段階認証イコール安心というフレームが無意識のうちに一般に浸透してしまって、そこを逆手にとる詐欺が横行しているということだ。あの時だって同様の詐欺手口が既にあったのだから、マスコミがその手口と危険性を報道すべきだったのに、全く触れていなかった。もう少し丁寧な報道があったらと残念に思う。
    詐欺の手口としてはSMSでURLリンクが送信されてきて、それをクリックしてパスワードを入力してしまうというもの。なぜクリックしてしまうかというと、おそらく、パスワードを変更したほうがいいとか、セキュリティ強化のためにログインする必要があるとか、そういうことがあってもおかしくない、とあまり疑問に思わないからなのだろう。
    10年以上前は、パスワードを定期的に変更するのが良いとされていたが、最近は悪いとされている。しかしながら、例えば日本の銀行でもいまだに定期的なパスワード変更を求めるところもあるし、AIが判断して必要なタイミングで秘密の質問をしてくるところもある。AIといっても、ただAIと言いたいだけ程度のものなので、その判断が間違っていることがかなりあるからあまり必要性はないし、セキュリティ強化にもなっていない。むしろ秘密の質問など無いほうがいいのに、あるほうがいいと信じているのか、後述する企業論理のために存在しているのだろう。秘密の質問に関しては、あまり良し悪しを専門家が語る機会が少ないので、システムに組み込みことに躊躇が無いのかもしれない。こちらも定期的にパスワード変更はすべきでないというアドバイスに付属させて専門家達には意見をしていただきたいところだが、有名人の秘密の質問がばれる案件がいくつも発生しているにも関わらず、なぜかあまりトピックになっていない。
    2段階認証や2要素認証でも、パスワード変更でもなんでもそうだが、複雑さが増すことで、数学的には認証を不正に突破する確率は掛け算で下がるわけだが、実際には、複雑さが増すことで、その複雑さに目を付けて騙す手口が出てきてしまって計算通りにはいかない。もしも、計算通りなら2段階より5段階のほうがいいし、パスワードの長さも32文字以上のほうがいいのだが、複雑になると、ユーザーは面倒になり手続きを自ら簡略化してしまう。例えば、パスワードを定期的に変更する必要があるなら、ユーザはそれを面倒と思うので、覚えやすい誕生日をパスワードにしてしまったり、複数のサイトで同じパスワードを使いまわすことをやってしまうのだ。場合によってはパスワードを書いたメモをPC画面に張り付ける人だっている。
    複雑な手続きを個人的に面倒と感じずに行える人は、個人的にパスワードを定期的に変更するのはいいだろう。しかし、企業側がそれを強制すると、管理できない人(多くの人はそうだ)が出てくるので、弊害のほうが多くなる。管理できないのは企業からしてみれば、なにかあったときにユーザー側の責任にできるから、いまだに定期的変更を推奨するサイトがあるのだろう。まったく無責任な話だが、企業としては企業を守ることが第一優先で、お客様は自己責任ということにしたいのだ。
    一般的に利便性と安全性は相反することが多いとされていて、そのバランスが重要となってくるが、そこに企業側の論理が入ってしまうと企業の安全性は高まるが、ユーザー個人の安全性は低くなるという現象がおこる。システムは常に企業側で作られるものだからそうなるのは当然といえば当然。要するに責任を個人に丸投げということだ。ではどうすれば個人を守れるのかは、今回は説明しないので、今までのブログを見ていただいて個人として出来る対策をとっていただきたい。



    | cooyou | 10:56 | comments(0) | - | - | - |
    Comment