NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

パスワードの定期的変更よりも複雑なパスワード設定の方が重要なことをユーザにどう伝えるか?

 こんばんは。京都銀行のインターネットバンキングにおけるログインパスワードの定期的変更に関するお知らせがいろいろと波紋を呼んでいますね。

www.kyotobank.co.jp

 以前、パスワードの定期的変更がセキュリティ対策として是とされていましたが、パスワードの定期的変更には意味がないという説の方が有力になってきましたね。単純なパスワードを定期的に変更するよりは、複雑なパスワードを設定した方が辞書攻撃やブルートフォース攻撃に対してはるかに有効であるということですよね。

 上記の京都銀行のページですが、ログインパスワードの定期的変更にどれだけの意味があるのかということを性格に理解しているのでしょうか?

 Twitter上でも@gikokuma さんが書かれてましたように、「定期的なパスワード変更で対応できるのは定期的なパスワード流出事故の対応に有効なだけ」だと思います。

 上記ページに書かれている理由として、「お客様のパソコンのウイルス感染等により、インターネットバンキングのIDやパスワードが盗取され…」とありますが、それならばパスワードの定期変更を要求するよりも、PCにIDやパスワードを保存しないようにアナウンスすべきではないでしょうか?どうも斜め上に行ってないかという気がしてなりません。「被害者の方が定期的にパスワードを変更していれば防げた事例も増加傾向に…」とありますが、これも違うような気がしますね。

 二段階認証やトークンを使ったワンタイムパスワードで対応するとか、他の方法を構築した方がよほどセキュリティ向上につながるはずだと思うのですが、ユーザを明後日の方向にミスリードしてしまうのはいかがなものでしょうか。

 問題は特に情報セキュリティについて詳しくない一般ユーザが疑問を持たずにそのまま受け入れてしまうことだと考えています。一旦こういう形で出てしまうと、「ああ、そういうもんかな」と素直に従ってしまう層が一定数いるものと思われます。「それは間違ってるよ。正しくはこうだよ。」ということを伝える術を持ちません。

 さらに問題なのは、この問題を銀行側に伝えたところで、きちんと理解してくれる職員が電話に出てくれるという保証がない点でしょうか。むしろ、「よく分からない」ということでたらい回しされたあげく放置されるという最悪の結果になることでしょうか。事故が起きてからでは遅いです。こんなアナウンスが表に出てしまって、情報セキュリティ業界界隈で物笑いになってしまっている事実を真摯に受け止めてほしいものです。きちんとした対応をされることを願ってます。

 ということで、本日のネタを締めたいと思います。<(_ _)>