新しいパスワード運用方法
実際、90日ごとにパスワードを変更するとなると、推測されやすい小幅な変更にとどめる人が大半だったといいます。たとえば、"Pa55word!1" を "Pa55word!2" に変えただけなど。これでは悪意をもった攻撃者を防ぐことはできません。
また、パスワードの使い回しをする人が増え、1つのパスワードが漏洩すると、芋づる式に多くのサイトへの攻撃ができるようになってしまいました。
2017年(平成29年)6月に改訂された「Digital Identity Guidelines 800-63B」の 5.1.1 Memorized Secrets では、
要するに、パスワードは記憶すべきもので、記憶しにくい意味不明な文字記号を使うよりは、単語を複数並べた長いパスワードの方が破られにくいと言っています。
また、パスワードの使い回しをする人が増え、1つのパスワードが漏洩すると、芋づる式に多くのサイトへの攻撃ができるようになってしまいました。
2017年(平成29年)6月に改訂された「Digital Identity Guidelines 800-63B」の 5.1.1 Memorized Secrets では、
- パスワード(secrets)は記憶する
- 8文字以上であること
- 複雑であることを要件にしてはならない
- 定期的に変更する必要はない
- パスワードが盗まれた可能性がある場合には変更すること
要するに、パスワードは記憶すべきもので、記憶しにくい意味不明な文字記号を使うよりは、単語を複数並べた長いパスワードの方が破られにくいと言っています。
参考サイト
- Digital Identity Guidelines 800-63:NIST
- あのパスワード規則、実は失敗作だった:WSJ, 2017年8月9日
- 不正ログインどう防ぐ 最低限知っておきたいパスワード設定:ITmedia,2018年9月3日
- パスワードは定期的に変更してはいけないのか、デジタルネイティブの末路:ネットロアをめぐる冒険
- PHPで覚えやすいパスワードを作る:ぱふぅ家のホームページ
- パスワードは定期的に変更しなくていい:おやじまんのだめだこりゃ日記
- 「パスワードは定期的に変更してはいけない」--米政府:よんまるのブログ
(この項おわり)
しかし、このルールを作成したビル・バー氏は、これらが間違いだったと語り、2017年(平成29年)6月にポール・グラッシ氏によって全面改訂された「800-63」が公開されました。改訂版にはパスワード期限のアドバイスはなく、特殊文字を必須条件にしていません。