- 3ヶ月に1回パスワードを変更しなさい
- パスワードはN文字以上
- 英数記号を混ぜよ
- IDとパスワードの組み合わせ
- HTTPSでやりとりした情報が守られる
この中で、2番目の理由は簡単で、ブルート・フォース・アタックからの耐性が上がるからだ。
3番目の理由もアルファベットのみでパスワードを構成するよりもパスワードを解とすれば、同じパスワード長でも解空間が大きくなるからで、まあ、わからなくもない。しかし、この3番目に関しては攻撃をする方がパスワードはアルファベットしか使っていないと知っている時やアルファベットのみの組み合わせでしか攻撃しない場合にしか効能が無いようにも思える。辞書攻撃を利用された場合に、どこまで効果があるのか極めて疑問で、容易に推測できない組み合わせの文字を利用する事の方が大切ではないかと思う。
1番目の理由が意味不明で、わからない。3ヶ月に1回変更しないと、パスワードがばれるから変更するのか?パスワードがばれた時に変更すればいいではないか?では、誰かがブルート・フォース・アタックを試みていて、3ヶ月に1回パスワードを変更すれば、既にアタックを受けて攻撃済みのパスワードに推移するから安全とでも言いたいのだろうか?複数人からブルート・フォース・アタックを受けている場合は、一体誰からの攻撃に対する耐性があるというのか?
ここで5番目の疑問に移ろう。HTTPS通信の記録を全て保持されている場合に、その通信に使われていた暗号方式が簡単に破られるようになったら、その時点で、その通信内容は筒抜けだ。そうすると、こういう場合を想定して、パスワードを定期的に変更するという話であれば納得がいく。それでも、3ヶ月に1回とか、そんな頻度でパスワードを変更しなければならない意味がわからない。
最後は4番目の疑問。パスワードの解空間を広げたいならば、2つ以上のパスワードを併用してみてはどうなのだろうか?しかし、これは改行文字を導入すれば良いだけなので、そんなに効果的とも言えないようだ。
0 件のコメント:
コメントを投稿