最近、パスワードの定期変更に異を唱える流れがありますが、絶対に定期変更をすべき例外があります。それは……。
アメリカの科学研究機関NIST(米国国立標準技術研究所)が発行する「デジタル認証のガイドライン」(DRAFT NIST Special Publication 800-63B Digital Identity Guidelines)が、間もなくドラフトから正式版になる予定です。
実は、ここには「利用者に対し、パスワードの定期変更を促すべきではない」という一文があり、大きな注目を集めていました。
Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) and SHOULD only require a change if the subscriber requests a change or there is evidence of compromise of the authenticator.
正確には“パスワードを定期変更してはいけない”というよりも、「運用者側が利用者に対し、定期変更を強いてはいけない」というニュアンスであることに注目してください。
冷静に考えると、「情報漏えいしてから定期変更するまでの期間は認証を突破できてしまう」ので、定期変更でリスクを回避できるパターンはごく限られています。そんなリスク回避のメリットよりも、“ただでさえ覚えられないパスワードを変更させる”ことで、社員がどんどん簡単なパスワードを設定してしまったり、情報システム部に何度もパスワードリセットの問い合わせをしたり――といったように、デメリットの方が多いのではないかと思います。
ただし個人的には、「あるパターンの運用」だけは、パスワードの定期変更ともう1つのお願いをしたいと思っています。万が一、そのパターンに合致する人は、本記事を熟読の上、今すぐ「2つのお願い」を実行してください。
Copyright © ITmedia, Inc. All Rights Reserved.