ITmedia NEWS > 社会とIT >
ニュース
2017年08月18日 15時11分 UPDATE

パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」

「大文字や数字や記号を混ぜたパスワードを、90日ごとに変更する」――そんなルールは間違いかもしれない。

[大村奈都,ITmedia]

 「パスワードには、大文字や小文字、数字、記号を盛り込み、定期的に変更する」――こうしたルールは間違いかもしれない。ルールを提唱した、米国立標準技術研究所(NIST)の元研究者ビル・バー氏は「結果的に間違いだった」と後悔しているという。米Wall Street Journalが8月7日に報じた

photo 写真はイメージです

 バー氏が作成し、2003年に公表された「NISTスペシャルパブリケーション800-63 別表A」という冊子は、セキュリティの世界に多大な影響を与えた。「大文字、小文字、数字、記号を混在させる」「定期的にパスワードを変更する」などのルールは、バー氏が冊子の中でアドバイスしたものだ。

 しかしこうしたルールは、現在では「間違い」という。

 例えば「90日ごとに変更する」となると、ユーザーの大半が「Pa55word!1」を「Pa55word!2」に変えるだけ――というように類似のパスワードを使い回しており、悪意あるハッカーの攻撃を防げないという。NISTによれば、パスワードを変更すべきなのは、盗まれた可能性があるときだけでよいとしている。

 「大文字や小文字、数字、記号を組み合わせる」というルールも、混乱を招くだけで、的外れなアドバイスだったという。

 今年6月に冊子「800-63」は全面改訂され、こうした“最悪のルール”は撤廃された。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.