パスワードはセキュリティの要の1つではあるが、複雑なパスワードをユーザーに強要することで逆にセキュリティリスクを招く危険性があるとImprevaが指摘した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティにおいてパスワードは非常に重要だ。ユーザーが簡単なパスワードを使えば、そこがセキュリティリスクとなる。現在は安全を確保する最低限の要件として、大文字や小文字、数字、特殊文字を組み合わせた8文字以上、有効期限を90日間とするものが多い。
しかし、ユーザーに複雑なパスワードを強いることは逆にセキュリティリスクを高める可能性があることが判明した。セキュリティベンダーのImpervaは2022年2月15日(現地時間)、同社のブログで「強力なパスワードを利用することと、複雑なパスワードをユーザーに強要することは全く別の問題だ」と指摘した。
Impervaによれば、文字や数字、非連続な音節といった複雑な文字列で構成されるパスワードをユーザーに強要した場合、ユーザーはこれを覚えるために「パスワードを付箋紙に書き留める」「会社のノートの裏に書き留める」「スマートフォンにメモする」「適当な紙切れに書く」といった行動を取るという。同社は「従業員は覚えることが無理だと判断すれば、何らかの方法でパスワードを記録するようになる。これがインサイダー事件の根本原因の1つになっている」と指摘する。
Copyright © ITmedia, Inc. All Rights Reserved.