パスワードの管理について

花粉症だと思ったら、どうやら風邪っぽいYu-ichiですneko.gif

風邪の所為なのか、今朝からずっと左耳が聞こえづらい状態です。
世間は10連休だけど耳鼻科やってるかな・・・?cat_8.gif

さて、今日はパスワードにまつわる少し面白いお話です。

ここで質問。
皆さんはパスワードを定期的に変更していますか?

私はほぼ変更していません。変更するとすれば、パスワードを忘れてリセットする時くらいです。b07.gif

セキュリティに対する意識が低すぎる!と思われるかもしれませんが、
あのMicrosoftも4月24日(米時間)のブログで「パスワードを定期的にリセットするのは昔からある時代遅れの緩和策で、非常に有効性が低い」と言っており、Windows10のバージョン1903とWindows Serverのバージョン1903のセキュリティ設定の草案から「パスワードの有効期限に関するポリシー」を廃止するそうです。hatena03.gif

そのほか、「NIST(米国立標準技術研究所)」が発行した「電子的認証に関するガイドライン」にも同様のことが書かれています。

さらに日本でも総務省の「国民のための情報セキュリティサイト」にはこんな風に書かれています。

なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。
(※1) NIST SP800-63B(電子的認証に関するガイドライン)
(※2) https://www.nisc.go.jp/security-site/handbook/index.html

いかがでしょうか?
過去多くのサイトでは、パスワードの定期変更をうたっていたので、パスワードを定期的に変更しないとセキュリティ的に問題だ!と思っていた方も多いのではないでしょうか?w01.gif

次回もパスワードに関する記事を書きたいと思います。neko.gif

トラックバックURL