| 見分けづらい文字 | 説明 |
|---|---|
| I | 大文字のアイ |
| l | 小文字のエル |
| 1 | 数字のイチ |
| | | 記号の縦線(バーティカルバー) |
| O | 大文字のオー |
| o | 小文字のオー |
| 0 | 数字のゼロ |
IPAが推奨しているパスワード要件
IPA(情報処理推進機構)が推奨しているパスワード要件の抜粋。
※2017/08/08 調べ
- 最低でも 8 文字以上にする。
- 数字や、「@」「%」「“」などの記号を含める。
- アルファベットの大文字と小文字の両方を含める。
- 「1234」「abcd」や、辞書にある単語をそのまま使うなど、単純なものにしない。
- 自分の名前、電話番号、誕生日などを使わない。
- サービスごとに違うパスワードを設定する。
- ID とパスワードを同じにしない。
- 他人にパスワードを教えない。
参考:チョコっとプラスパスワード|IPA 独立行政法人 情報処理推進機構
定期的なパスワード変更はするべきか?
驚いたことにIPAのパスワード要件では「定期的なパスワード変更」が推奨されていない。会社やらWebサービスやらに口酸っぱく言われ、めんどくせぇななんつって毎度ウダウダ渋々やってきたものだが。
いい機会なのでパスワードについて色々調べてみたところ、どうやら「定期的なパスワード変更」は効果がなく、むしろリスクを増やす行為なんだとか。おい。
調査報告①:効果がない
- 定期的な変更はパスワードがばれている状態を長引かせないための処置。
- しかし攻撃者はパスワードを暴いてから数分(あるいは数ミリ秒)で目的を達成する。
- よってパスワードを変更するころには手遅れ。
ストーカーのSNS監視を防ぎたいとかなら効果もありそうだが、たしかに企業が警戒するような相手には効果を感じない。なら私はやらない、やらないったらやらないぞ。
調査報告②:リスクが増える
- 頻繁に変更するとパスワードを安直にしたり使いまわしたりする私のような横着者が必ず現れる。
- 人類最大にして最強の敵「めんどくさい」が顔を出す。
- そして攻撃者は「めんどくさい」につけこむ。
というわけで、セキュリティ意識の高い機関では推奨しなくなっている模様。「パスワード 定期変更」でググったら興味深い記事がいくつも出てきた。興味のある方は一読の価値あり。