主な安全上のヒントの1つ-さまざまなサイトでパスワードを定期的に変更する-は、ユーザーの観点からは正しくありません。
Microsoft Researchの主要な研究者の1人であるCormac Herleyは、労働とパスワード変更の利点との関係を計算する論文を発表しました。 最終的に、この手順は、他のセキュリティ手順のように、ユーザーにとって有益ではないことが判明し、 NY Timesが書いています。
実際、一般ユーザーの多くはこれを直感的なレベルで感じています。 貴重な情報がない場合、なぜ保護に時間とエネルギーを費やすのでしょうか。 マイクロソフトはこれを公式に確認しました。
セキュリティの専門家は長い間、ユーザーの形成とリテラシーの向上を求めてきました。 ハーレーは、このアプローチは根本的に間違っていると主張します。
「ほとんどのセキュリティのヒントは、ユーザーに不利な費用便益比を提供するだけです」とCormack Hurleyは書いています。 彼によると、多くのウェブサイトのセキュリティ対策は特に愚かです。 たとえば、サイトでパスワードを定期的に変更する必要がある場合。 パスワードを知った攻撃者がパスワードが変更されるまで待つことは想像しにくいです。 つまり、パスワードの盗難が発生した場合、その変更は実際には役に立たない。なぜなら、ハッキングが可能であれば、それはすでに発生しているからだ。
Hurleyは、これらのメッセージのほとんどが脅威ではない場合、サイトの有効期限が切れた証明書に関するブラウザでのメッセージの読み取りなど、他のセキュリティ対策もユーザーにとって悪い取引であると考えています。
マイクロソフトの一流研究者によると、普通の人は自分のコンピューターを保護するためにあまりにも多くの措置を講じることを余儀なくされています。 彼は、セキュリティ対策に従わない場合、セキュリティの専門家はユーザーの非識字について話すことに慣れているが、通常は時間のコストを考慮していないと言います。 彼らの意見では、ユーザーの時間は無料です。 実際、人々がこれらの複雑な手順のほとんどに従うことは、単に有益ではありません。
ハーレーは、この計算を行います。人件費を最小に近づけると、2億人のアメリカ人ユーザーが1日1分を費やすと、年間約160億ドルの費用がかかります。 これは、セキュリティの専門家が手順に従うために必要な価格です。 これは多すぎる。
たとえば、フィッシングによる銀行への年間被害額は約6,000万ドルです。銀行の顧客にフィッシングから身を守るために少なくとも数分を強制する場合、保護のコストは潜在的な被害の10倍になります。 これらの費用の一部は銀行自身が負担し、銀行は新しいサービスを導入し、新しい手順に関してユーザーに技術サポートを提供することを余儀なくされています。 その結果、保護のコストは損害の何倍にもなります。
ハーレーの研究は、昨年秋にオックスフォード大学のコンピューターセキュリティヒアリングで公開されました( PDF )が、この理論に関する専門家の間での広範な議論はTechRepublicの記事の後、約1か月前に始まりました。
Microsoftの計算:パスワードの変更は有益ではありません
All Articles