パスワードの定期変更、強制はダメ? その理由と1つの例外:半径300メートルのIT(1/2 ページ)
最近、パスワードの定期変更に異を唱える流れがありますが、絶対に定期変更をすべき例外があります。それは……。
アメリカの科学研究機関NIST(米国国立標準技術研究所)が発行する「デジタル認証のガイドライン」(DRAFT NIST Special Publication 800-63B Digital Identity Guidelines)が、間もなくドラフトから正式版になる予定です。
実は、ここには「利用者に対し、パスワードの定期変更を促すべきではない」という一文があり、大きな注目を集めていました。
Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) and SHOULD only require a change if the subscriber requests a change or there is evidence of compromise of the authenticator.
正確には“パスワードを定期変更してはいけない”というよりも、「運用者側が利用者に対し、定期変更を強いてはいけない」というニュアンスであることに注目してください。
冷静に考えると、「情報漏えいしてから定期変更するまでの期間は認証を突破できてしまう」ので、定期変更でリスクを回避できるパターンはごく限られています。そんなリスク回避のメリットよりも、“ただでさえ覚えられないパスワードを変更させる”ことで、社員がどんどん簡単なパスワードを設定してしまったり、情報システム部に何度もパスワードリセットの問い合わせをしたり――といったように、デメリットの方が多いのではないかと思います。
ただし個人的には、「あるパターンの運用」だけは、パスワードの定期変更ともう1つのお願いをしたいと思っています。万が一、そのパターンに合致する人は、本記事を熟読の上、今すぐ「2つのお願い」を実行してください。
関連記事
- 「半径300メートルのIT」記事一覧
- 私が「パスワードがない世界」を選べない理由
面倒なことこの上ない「パスワードの手入力」。誰もが、この面倒な操作をしたくないと思っているのではないでしょうか。手入力なしの認証方法も登場していますが、私はこれを選びませんでした。その理由は…… - 過信は禁物? ワンタイムパスワードはどこまで安全なのか
最近、安全性が高い認証方法として認知され始めている「ワンタイムパスワード」。しかし、この手法には本当に死角がないのでしょうか? - TwitterやECサイトのパスワードは“5分もあれば”盗まれる?
先日、Twitterのパスワードらしき数千万件の情報が流出したという報道がありました。こうしたWebサービスのパスワードは、あなたが思っているより簡単に盗まれてしまう可能性があることを意識していますか? - わが家の「パスワード管理ソフト」導入記
家族に提案したら、「そんなところに預けられません!」という返事がありました……。それを乗り越えていけそうな“手がかり”もご紹介します。 - iPhoneをなくして分かる、二要素認証の落とし穴
このコラムでもセキュリティ対策としてお勧めしている「二要素認証」。しかし、あるシーンで思わぬ壁にぶち当たったのです……。
Copyright © ITmedia, Inc. All Rights Reserved.