新着Pick

【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ

INTERNET Watch
NIST(米国国立標準技術研究所)の傘下部門であるCSD(Computer Security Division)が発行する文書のひとつ、Special Publicationは、米国の政府機関がセキュリティ対策を実施する際の指針になる文書として、世界中で一目を置かれる存在だ。そんな中、先週末にドラフトとして公開された文書「800-63B」の「5.1.1.2. Memorized Secret...
95Picks
シェアする
Pick に失敗しました

選択しているユーザー
ユーザーにパスワードの定期的な変更を求めるべきかどうかというのは長年技術者の間では論争になっていた。ここ最近、少なくとも私の周りでは、もはやそのような要求は都市伝説の類であり、パスワードを定期的に変更してもなんらセキュリティ的にプラスになるものでもなく、むしろ多くのサービスで異なるタイミングでパスワードを覚えることができないユーザーは逆に覚えやすいパスワードを付けることになりセキュリティ強度も弱くなる可能性さえあるという結論に達しつつあった。

たとえば、日経BP ITProのこの記事 → http://itpro.nikkeibp.co.jp/atcl/column/14/346926/031600480/?rt=nocnt などはその流れを解説したものになっている。

認証方式はパスワードだけではなく、2要素認証なども導入されるようになっており、もはやパスワードだけに依存したセキュリティは避けられるようになっている。このような技術の進歩やユーザーが関わるサービスが多様化し、数も増す中での、パスワードのあり方は、今回のこのNISTが指針として示したものになるべきであろう。

足元の日本を見ると、このようなレベルとはほど遠く、パスワード自体にさまざまな制限が加わっているものが多い。字数制限(何文字以上ならわかるが、何文字までしか許可しない)、字種制限(英数文字しか許さないなど)など、ユーザーが使いたい文字さえ使えないものも多い。

定期的に変更しろという形にセキュリティ強化をユーザー側に負担させるのではなく、セキュリティに関するユーザービリティを高める努力を自らのサービス側に施す努力がもっと欲しい。

国家の安全保障ももはやサイバー空間に移っている。まずは身近なパスワードから。
人気 Picker
とても興味深い記事。仕事でもプライベートでもIDとパスワードで何事も管理するため、個々の管理は非常に大変。最近は前回とよく似たパスワードには変更できないものも多くなってきていますが、そもそもの定期変更が必要なくなるとわずらしい作業から少しでも解放はされますね。