マイクロソフトのパスワードの定期変更不要というニュースを見ました。以前から気になっていたのですが、別にこれらの言っていることは「なにも間違ってない」のですが、都合良く部分的に摘まむ方々は、定期変更不要と、弱いパスワードのまま使うことと、それらを使い回しすることが全部一緒くたになっているという、全然笑えない現実があることです。
パスワードの定期変更は危険！という話をそのまま鵜呑みしていいのか？

どこから見るかで立場は変わる

誰が何処から見て「どれが本当なのか？」ということかと思います。 誰かの考え方を、特に深く考えることもなく、自身に都合良い部分だけ搔い摘まんで使うことの危険性を知って欲しいです。

簡易チェック（いくつマルがつきますか？

1．パスワード管理は専用ソフト等を使っている。

2．パスワードは個別に使用し、同じものは使い回さない。

3．二段階認証を積極的に使うようにしている。

4．パスワードに、+1とかをつけたものは使わない。

5．リマインダーの質問回答は正直に答えてない。

マルの数で以下を確認

デフコンのように並べました。数字は小さい方に向かって危険度が高いです。

5．パーフェクトです。マルの少ない人に教えてください。

4．ほぼ大丈夫です。管理ツールか二段階認証を使いこなせれば100％です。

3．マルの付かなかった部分を強化して下さい。

2．かなりマズイです。あと2つは増やして下さい。

1．すぐに変えないと漏洩したとき、何も対応出来ません。

まず3つの人、おそらく最も多い層と思います。不足部分を1つ足せば、ほぼ大丈夫な4になります。パーフェクトも全然いけますね。

次に2つの人、かなりマズイので、早急に対応して下さい。パスワードに関する過去ブログを参照下さい。出来る部分だけでも対応すれば、4に近くなるはずです。

マルの数が、1とかゼロの方々

今まで事故が起きなかったのは、ラッキーとしか言いようがありません。
パスワードの漏洩事件は相当起きています。最近だとハッキング被害にあったパスワードのこれとか、Facebookのこれなど…
全然、対岸の火事でもなく他人事でもありません。

ネットのサービスを使っていれば、普通に漏れるという前提で考えるべきです。全然マルがないので、ある意味簡単です。やりやすい部分からはじめてみることです。やり始めれば、後はそんなに難しくなく増えていきます。何もないとこからが大変なのです。

まぁ、それでもやらないのであれば、あとは漏れるのを待つだけとしか言いようがないです。漏れる前提なので、

・使い回しはしてなく、

・どこでどのパスを使っているか管理しており、

・二段階認証なども併用していれば、

その、漏れたパスワードだけ対応すれば、他のサービスやパスワード等に影響はないはずです。

改元あわせて、パスワード管理も改めてみる機会にどうでしょうか？

その他：「パスワード」カテゴリーの投稿

現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか？

ほとんどの企業において、情報セキュリティ教育のコンテンツは一巡しています。新たに知るべく脅威などもありますが、ほぼ新しいコンテンツはありません。

技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。

一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。

詳細はこちらへ