パスワードローテーションとは何ですか?
良いパスワードポリシーを作成するのがどれほど難しいかについて話しました。問題の一部は、これが設定忘れのタスクではないという事実にあります。企業はオンラインの脅威の状況の変化に継続的に適応する必要があり、パスワードポリシーは最新の傾向と変更に従って修正する必要があります。これは実際に起こっていますか?
さて、2016年、米国政府の一部である非規制機関である米国国立標準技術研究所(NIST)は、数か月ごとに従業員にパスワードの変更を強制しないように企業に助言しました。これは、以前に企業にアドバイスされていたものと正反対でしたが、NISTは、必須のパスワード変更が人々のオンラインセキュリティに悪影響を及ぼしているという十分な証拠があると述べました。多くの専門家がNISTのアドバイザリーを称賛し、サポートを続けていますが、それにもかかわらず、4年近くたった今でも、一部の組織は従業員に定期的にパスワードの変更を強制しています。
頻繁にパスワードを変更すると、パスワードがローテーションされます
人々に頻繁にパスワードを変更させなければならない主な問題は、あなたが彼らにかけるストレスがオンラインセキュリティに深刻な結果をもたらす可能性のある間違いにつながることです。強力なパスワードを作成するのがどれほど難しいかはご存知だと思いますが、定期的にパスワードを作成する必要がある場合にのみ、それがどれほど難しいか想像できます。
このような負担のため、パスワードを変更する必要がある人は、トラブルを軽減し、既存のパスワードを簡単に変更することを選択することがよくあります(たとえば、「password1」を「password2」に交換する)。人々が採用しているもう1つの戦略は、定期的にローテーションする3つまたは4つのパスワードの限定リストを作成することです。
セキュリティの専門家は、パスワードローテーションが悪い考えである複数の理由をリストできます。ユーザーは通常、3つまたは4つのパスワードを記憶しようとするため、資格情報はあまり強力ではありません。別の問題は、パスワードが時々有効になるという事実から生じます。理論的には、ハッカーがあなたがローテーションするパスワードのいずれかを持っている場合、彼らはあなたのアカウントに対して定期的にそれをテストすることができ、最終的に、彼らはタイミングを正しく取得し、成功します。
定期的なパスワード変更に対する全体的なケースは、サイバー犯罪者がアカウントを侵害しようとする前にパスワードを変更するのを待たないという事実に由来しますが、パスワードローテーションシナリオで資格情報が切り替えられる反復的な性質により、この戦略は特に脆弱です。残念ながら、既に述べたように、他のオプションが制限される場合があります。
パスワードのローテーションが唯一のオプションである場合、何ができますか?
一部の組織では、引き続き定期的なパスワード変更を実施しています。つまり、パスワードのローテーションは非常に活発で活発です。さらに悪いことに、パスワードマネージャーの使用を許可しない企業があります。これにより、パスワードを完全に変更する必要がなくなります。
パスワードのリストをローテーションする以外に選択肢がない場合は、少なくともリスクを可能な限り軽減することができます。多種多様な文字を使用し、パスワードをできるだけランダムに見えるようにします。多数のパスワードを作成することにより、侵害の成功の可能性をさらに制限しますが、それらが互いに実質的に異なることを確認する必要があります。最後に重要なことですが、会社でパスワードポリシーを作成する担当者に連絡し、安全なフレームワークのアイデアは非常に時代遅れであることを伝えてください。