あなたのパスワードの安全性

私はいったいいくつのパスワードを使っているのでしょう。
毎日たくさんのシステムを使います。
そのそれぞれで認証が行われます。
それだけでも大変なんですが、そのそれぞれの多くのシステムで、定期的なパスワードの変更を促されます。

わかります。
パスワードが長期的に変更されていない場合に危険であることは。
でもいろいろあって大変なんです。

  • XXX文字以上でないといけない
  • 大文字と小文字と数字を使わなければならない
  • 過去に使ったパスワードを再利用してはいけない
  • 簡単なパスワードを使ってはいけない
  • 複数のシステムで共通のパスワードを使ってはいけない
  • 誕生日などの推測しやすい情報を含めてはならない

いろんなルールがありそうです。
でもすぐにわかることなんですが、これらのルールは一つの方法で分類ができてしまいます。

「ルールに沿った内容になっているかを確認しやすいかどうか」です。

文字数や文字種などはすぐに妥当性確認ができます。
なので、パスワード変更操作時に厳しくチェックされます。

そんなにいろいろなパターンの長くて推測が難しいパスワードを考えられるものではないです。
たしかに1つのシステムだけを考えればときどきパスワード変更を要求されるだけです。
でも一人の人が多くのシステムを使いますので、その人にとっては、それなりの頻度で新しいパスワードを考えることになっています。
このため、良くないことと思いながらある程度の法則を作ってパスワードを変更してしまっているという人もいるでしょう。

ある研究によると、ユーザーの以前のパスワードを知っていれば、3秒以内にユーザーの現在のパスワードの41%を推測できるそうです。
そういうことができそうなのは感覚的にわかりますが、その時間の短さと確率の高さに驚きます。

パスワードの定期変更の功罪、難しい問題です。

参考記事(外部リンク):Is it still a good idea to require users to change their
passwords?

thehackernews.com/2021/05/is-it-still-good-idea-to-require-users.html