youのpassword大丈夫?

パスワード

クローバーフィールドの杉山です。

只今、セキュリティ規約とセキュリティハンドブックを絶賛見直し中です。

そんな中、私が登録しているとあるサイトからメールが来ました。
「定期的にパスワードを変更してくださいね。」でした、よくあるやつですね。

お客様との契約時のセキュリティ調査なんかにも定期的なパスワードの変更運用があります。私が開発に携わったステムの運用設計にも同様の運用を記載しました。

でもですね、最近のトレンドはそうじゃないみたいです。

総務省が提供している「国民のための情報セキュリティサイト」の「基礎知識」によると十分な強度を持ったパスワードを設定したら、変更しない運用をおすすめしています。
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html

パスワードを頻繁に変更するようになると憶えやすい安易なパスワード設定しがちであり、こちらの方がよりリスキーな運用であると判断したようです。

うん、なんとなく気持ちはわかります。
個人の弊社のパスワード運用もそっちにしようかな。
もちろんええ感じの強度のパスワードを設定してからですよ。

しかし、組織的に使用しているユーザが共有されている場合はそうはいかんですね。
rootなんかそうかもです。
管理者権限を持っているユーザが組織から離れた場合は即座に変更すべきですね。

その辺は定期運用ではなく随時で運用すべきですね。

この編の切り分けをキッチリしてセキュリティの規約に反映したいと思います。
情報流出の一番の原因は、内部からの流出ですからね。

ちなみにパスワードの文字列に記号やら英字の大文字、小文字を混ぜる運用も、プルートフォース攻撃を受けるような単語を利用している場合は、効果が無いようです。
passwordをp@zzwOrdとかね。

しっかり強度のあるパスワードを使用してくださいね。