武田先生の記事を読んで、思った点をいくつか。
武田圭史 » パスワードを定期的に変更することに意味はあるのか?
(以下、「パスワードを定期的に変更すること」を「定期変更」と書く。)
定期変更に意味があるかどうかについては、この際置いておく。
1)
仮に、定期変更に効果があるのならシステム化して強制すれば良いのに、サービス提供者は何故それをしないのか?
(おそらく費用対効果が低いのではないか?)
2)
「推奨」と称してシステム化せずにユーザーにリスクの判断とコストを負担させようとしているのに、それを評価させるに十分な情報を提示しないのは何故か?
少なくとも「定期的」とする期間を提示すべきだと思う。
システム全体としてどれくらいの認証要求があり、そのうちどれくらいの不正アクセスがあるかはユーザーにはわからないわけで、どのくらいの頻度で変更すべきかの判断がユーザーにはできない。
定期変更の推奨を謳うのであれば、ユーザーが実際に行えるだけの情報を提供する必要があるだろう。
3)
仮にシステム化したり、変更頻度や期間を指示したりして、ユーザーがその通り実行したとする。
その上でも発生する、変更までの期間内の不正アクセスの被害について十分な説明がないのは何故か?
定期変更してもやはり発生する不正アクセスの被害について、どのくらいの確率で発生するのか、ユーザーに説明しないといけないとユーザーはリスク判断できない。
ユーザーとして)
例えば、自分が利用しているサイトに自動車保険の更新サイトがある。
1年に1度の利用だ。
もし、このサイトが定期変更の推奨期間を3ヶ月と謳ったとすると、ユーザーはサービスの利用もしないのにパスワードの変更だけにサイトにアクセスする必要が出てくる。
ユーザーが負担するこのコスト、3ヶ月以内の不正アクセスに対しては被害が発生してしまうことを含めて、どう評価するか。
(書きかけのまま公開)