パスワードは定期的に変更しなくてよい

(1/1)
Windows 10
パスワードには、大文字や小文字、数字、記号を盛り込み、定期的に変更する――2003 年(平成 15 年)、米国立標準技術研究所(NIST)が「NIST スペシャルパブリケーション 800-63 別表A」に記載したこのルールは、セキュリティ業界の定石となっていました。
しかし、このルールを作成したビル・バー氏は、これらが間違いだったと語り、2017 年(平成 29 年)6 月にポール・グラッシ氏によって全面改訂された「800-63」が公開されました。改訂版にはパスワード期限のアドバイスはなく、特殊文字を必須条件にしていません。

新しいパスワード運用方法

実際、90 日ごとにパスワードを変更するとなると、推測されやすい小幅な変更にとどめる人が大半だったといいます。たとえば、"Pa55word!1" を "Pa55word!2" に変えただけなど。これでは悪意をもった攻撃者を防ぐことはできません。
また、パスワードの使い回しをする人が増え、1 つのパスワードが漏洩すると、芋づる式に多くのサイトへの攻撃ができるようになってしまいました。

2017 年(平成 29 年)6 月に改訂された「Digital Identity Guidelines 800-63B」の 5.1.1 Memorized Secrets では、
  1. パスワード(secrets)は記憶する
  2. 8 文字以上であること
  3. 複雑であることを要件にしてはならない
  4. 定期的に変更する必要はない
  5. パスワードが盗まれた可能性がある場合には変更すること
などと述べています。

要するに、パスワードは記憶すべきもので、記憶しにくい意味不明な文字記号を使うよりは、単語を複数並べた長いパスワードの方が破られにくいと言っています。

参考サイト

(この項おわり)
header