- ベストアンサー
パスワードの変更は意味あるの?
銀行に限らずNET取引のログイン時に頻繁に「パスワードの変更」を推奨されますが、変更することにどの位意味があるのでしょうか? 盗むことを狙っている方は手当たり次第に組合せを当ててくると思っているので、変更してもしなくても当てられる確率はあまり変わらないように思えるのですが。 キー操作を盗まれた場合は変更に無関係ずですし、長期間にわたって狙われ続けた場合は、変更することで逃げられる可能性も有りますが、逆に当りに行く結果になる可能性も確率的にあるような気がします。
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
セキュリティ専門家の間では、無意味ないしほとんど無意味という事になっています。 それより、簡単なパスワードを使わないだとか、同じパスワードを複数サイトで使わない方が大事。 一般の人に、定期的にパスワードを変えることを強制すると、 ・簡単なパスワードを使ってしまう ・複数サイトで同じパスワードを使ってしまう などをしがちで、変更推奨はともかく変更強制は有害です。
その他の回答 (5)
いまのところ、問題がなくても やれることはやったほうがいいと思いますよ。 どこから入られたか特定できたら、 セキュリティソフト要らないでしょう。 一度でも侵入されたら終わり。 これくらいの危機感はもったほうがいいと 思います。 あなたが意味ないと思うなら それはあなたの判断です。 自分の家に鍵をかけるのはドアだけでいいですか? 聞かれても自分の判断ですよね。 セキュリティは意識的なことです。 私はネットは海外旅行の感覚で使っています。
お礼
ご回答ありがとうございました。 仰る通りですね。
既に相手にばれてしまっている時は、変更することでそれ以上の被害が防げる、というのはあると思います。 後は、変更をするということは、パスワードの管理に関心があるということなので、同じパスワードを使いまわしてあちこちで被害にあわないような本人への意識付けはあるかもしれませんね。
お礼
ご回答ありがとうございます。 確かに変更するかどうかよりも、関心を持って管理することが重要ですね。
- superside0
- ベストアンサー率64% (461/714)
> キー操作を盗まれた場合は変更に無関係ずですし、 たしかに、その場合は、根本対策しないと パスワードだけ変更しても無意味ですよね。 ただ、これからパスワードを破られるというケース以外に すでに ・パスワード総当り攻撃で破られている ・パスワードをメモ用紙に書いていて、紛失していたり、盗み見されている ・セキュリティーの低いサーバーから生パスワードが漏洩している ・マルウェアやキーロガーなどでパスワードを盗まれたことがある ・漏洩したのと同じパスワードをよそでも使い回ししている でも、まだ被害がないので、漏洩したことが発覚していない。 というような状況になっている場合であれば、パスワードを変更することに意味はあるでしょう。 やたら、Subject:failure notice の迷惑メールが沢山届くな…と思っていたら パスワード変更したらピタッと止まった なんてことも、ありますし。 (つまりメールのSMTP認証パスワードが破られてスパム発行の踏み台に使われていたが それ以外には悪さしていなかったので、気が付かなかった)
お礼
ご回答ありがとうございました。 漏洩に気付いていない場合の対策としては有効ですね。
- t_ohta
- ベストアンサー率38% (5253/13739)
パスワードを総当りで探すような攻撃に対しては、質問者さんが仰るとおり無意味な面があります。 ただ、総当りで探すような攻撃はすぐにバレて通信をブロックされたりするので、あまり賢い攻撃ではありません。 一方で、通信の盗聴やデータの流出によるパスワードの漏洩に対しては、定期的にパスワードを変更することで漏洩したパスワードを無効に出来るので有益です。 複数のサービスで同じパスワードを使い回している人の場合、別のサービスで漏れたパスワードを元に不正アクセスされる可能性も出てくるので、サービス毎にパスワードを変えて、その上で定期的に更新することで被害を防げます。
お礼
ご回答ありがとう誤字余す。 なるほど漏洩していた場合は効果有りですね。
- aokii
- ベストアンサー率23% (5210/22062)
パスワードの変更は無意味です。銀行やNET取引のログイン時に頻繁に「パスワードの変更」を推奨するのは銀行やNET取引会社側のリスク対策なのですが、パスワードを忘れた場合を考えるとログインできなくなり不便です。
お礼
確かに、銀行の変更推奨は過去の事例からの銀行側のセキュリティ管理上の責任逃れの側面が強いと読んだことがあります。 それにさすがに銀行に関しては、都度PWの発行とか乱数表の使用とか、ログイン時に指定のメアドに即時連絡が入る等の対策が取られていてかなり安全性が高いと思われるのですが、カード関係は不安です。毎月の使用金額を確認するくらいしかないかと。
お礼
ご回答ありがとうございます。 ご回答の最初の部分がまさに当方が質問した意図に対する回答で、当方には非常に説得力のあるご回答です。 当方は最初は複数のPWを複数のサイトで使いまわし、変更することに意味があると単純におもっていたので、PW忘れ防止の為に同じPWに統一してました。 これでは変更する意味がない気がして、一定の規則性でその都度PWを作成するようにしたのですが、たまにしか使わないPWはやはり忘れることも多く、結局面倒な手続きで再発行してもらう事になったり。 簡単な規則性ならばれたらすぐに全部のPWが推定されてしまう可能性もあるだろうし。。。等々迷い始めたので、PWの変更にどれほどの意味があるのかと質問させていただきました。 定期的な変更のメリット、デメリットの両方を考慮してPW作成、変更頻度を考える必要があることを再認識致しました。 ありがとうございました。