NIST(National Institute of Standards and Technology、米国国立標準技術研究所)がセキュリティに関する文書の中で、
パスワードの定期的な変更など現時点で結構常識として扱われている方針について「やるべきではない」との見解を示したようですね。
元の文書はこちら。まだドラフトなのかな。
- DRAFT NIST Special Publication 800-63B Digital Authentication Guideline
- https://pages.nist.gov/800-63-3/sp800-63b.html
この5.1.1.1章に記載がありました。
[5.1.1.1. Memorized Secret Authenticators より抜粋]
Verifiers SHOULD NOT impose other composition rules (mixtures of different character types, for example) on memorized secrets.
Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically)
unless there is evidence of compromise of the authenticator or a subscriber requests a change.
- 文字種等に関する制約を課すべきではない
- 漏えいの事実がある場合や利用者が要求する場合を除き、パスワードの定期的な変更をさせるべきではない
結局、定期的な変更で「完全にぐちゃぐちゃなパスワード」にする人ってほとんどいなくて、たいていの場合、その人の中での法則性のあるパターンの繰り返しになるそうで。人間、そんな覚えられないですから。結果、過去の履歴などがわかった時点で今のパスワードも推測できたりしてしまうそうな。また、文字の混在や数字混在もあまり共用すると
- @dministrat0r
- Password1!
みたいな固定文字列に行きついてしまうケースが多かったようで。結局そうなると、別システムも同じルールになっていれば推測で認証突破できるんですよね。パスワードは「先頭大文字のサーバー名+01」みたいな感じです。
キングジム パスワードマネージャー ミルパス PW10 ブラック
- 出版社/メーカー: キングジム
- 発売日: 2012/10/05
- メディア: オフィス用品
- クリック: 40回
- この商品を含むブログ (9件) を見る
ただし、「見られたかも!?」という場面があった場合や、見られる可能性がある場所ではある程度の間隔でパスワードを変えることで「漏えいしてしまったパスワードを無効化する」という効果はあります。また、「10年近く同じパスワードで暗黙のうちにみんな知ってる」みたいな、形骸化した状態を是正するにはある程度のルールは必要かとも思います。
常に「これは何のため」ということを意識しないとこういうことになっちゃうってことの良い例だったかと思います。
- 出版社/メーカー: HIGHTIDE
- メディア: オフィス用品
- この商品を含むブログを見る
バイブル ID/パスワード(グレース)5sheets 7537-100
- 出版社/メーカー: アシュフォード
- メディア:
- この商品を含むブログを見る
- 出版社/メーカー: OSANPO Shopping
- メディア: オフィス用品
- この商品を含むブログを見る
- アーティスト: TeddyLoid feat.ボンジュール鈴木,Bonjour Suzuki,TeddyLoid
- 出版社/メーカー: FlyingDog
- 発売日: 2016/06/22
- メディア: CD
- この商品を含むブログ (2件) を見る