ユーザー認証で一番多いのはやはりユーザーIDとパスワードだと思う。
最近は生体認証やデバイス認証も出てきているが、まだまだIDパスワード認証が多いのではなかろうか。
最近はパスワードの定期変更要否に関する議論があったりと、ベースラインが変わりつつあるので、少し整理する
■パスワード強度について
NISC(内閣サイバーセキュリティセンター)やJPCERT/CCが見解を出しているので、貼り付けておく。
←NISCの推奨
←JPCERT/CCの推奨
それぞれのいいとこどりをすると下記を満たすパスワードが理想となる。
『パスワードは少なくとも英大文字小文字+数字+記号で 12 文字以上』
■パスワードの定期変更について
上記を満たすパスワードで、かつ使いまわしをしていなければパスワード変更は不要。
2017年にNIST(米国国立標準技術研究所)が上記の方針を打ち出し、2018年に日本の総務省もこれに追随する旨の方針を打ち出しました。
しかしこれ、大前提として、「パスワードが使いまわしされておらず、パスワード強度が
英大文字小文字+数字+記号で10文字あると、約2785京の組み合わせとなり、1秒間に5回の入力で総当たり攻撃しても、全部を試すまでに約1760億年かかるので大丈夫」
という前提があります。
この前提をすっ飛ばして「総務省がパスワード変更は不要といいました」というおバカな報道をする人たちが大量に出て閉口しました。
背景含めてまともな報道したのは朝日新聞くらいではなかろうか。
【参考リンク】
STOP! パスワード使い回し!キャンペーン2018
ネットワークビギナーのための情報セキュリティハンドブック
総務省「国民のための情報セキュリティサイト(安全なパスワード管理)」
電子的認証に関するガイドライン(SP 800-63)