「パスワードの定期的変更は、古びた時代遅れの極めて価値の低い対策」、Microsoftが次期大型アップデートでポリシー変更
Microsoftは、Windows 10の次期大型アップデート「Windows 10バージョン1903」と「Windows Serverバージョン1903」のセキュリティベースライン設定のドラフト版を公開した。そこで「パスワードの定期的な変更を促していたポリシー」の廃止が盛り込まれた。
Microsoftは4月24日(現地時間)、間もなくリリースされるWindows 10の次期大型アップデート「Windows 10バージョン1903」(19H1)と「Windows Serverバージョン1903」について、セキュリティベースライン設定のドラフト版を公開した。
今回のドラフトでは、「パスワードの定期的な変更を促していたポリシー」の廃止が盛り込まれたことが注目されている。Microsoftはこれについて、「パスワードセキュリティの現状に問題があることは疑いようがない」と認めている。
ユーザーが自分でパスワードを作成する場合、安易なパスワードを選びがちな傾向があるという。覚えにくいパスワードの作成を強要されたり、割り当てられたりすれば、目に見える場所に書きとめておく。パスワードの定期的な変更を強要されれば、既存のパスワードに予想可能な変更を少しだけ加えて済ませがちで、新しいパスワードを忘れてしまうこともある。パスワードや関連するハッシュが流出すれば、その不正利用の検出や制限は難しい。
そうした現状を認めた上でMicrosoftでは、「パスワードの定期的な変更を促すといったポリシーは、科学的な調査で疑問が投げ掛けられている。禁止パスワードリストの強制や多要素認証といった代替策が推奨されている」と指摘する。
パスワードの定期的な変更は、パスワードやハッシュが有効期限中に盗まれて、不正利用される事態のみを想定した対策だった。しかし「パスワードの定期的な失効は、古びた時代遅れの極めて価値の低い対策であり、ベースラインとして徹底させる価値はない」とMicrosoftは断言。管理者に対しては追加的な対策を講じるよう強く勧告している。
関連記事
- ついにパスワードにさよならの時? それでも手放しで喜べないわけ
ヤフーとソフトバンクがパスワードなしのログイン機能を発表し、とうとうパスワードにさよならの時が来たかと思った人、ことはそう単純ではありません……。 - 4500万人のユーザーに“パスワード”をやめさせたい――ヤフーが進める「もっと安全で簡単な認証」とは
共通ID「Yahoo! JAPAN ID」を使って多数のWebサービスを展開するヤフー。同社では、パスワードを無効にし、代わりにSNSや生体認証を使った新たなログイン形式を推進している。「パスワードよりも安全で、簡単」というその中身とは。 - もはや「バレないパスワードはない」 7億7300万件データ流出事件、対策はあるのか?
複数のWebサイトから8億件近いメールアドレスやパスワードが流出した事件の発覚から数日、その深刻さが明らかになっています。あなたも被害に遭っていないかどうか、これからお伝えする方法でぜひ確認してください。 - ユーザー数億人のパスワードが社内で丸見えに!? Facebookで発覚した“平文で保存”事件の衝撃
多くのユーザーを抱える「Facebook」の社内で、一部ユーザーのパスワードが平文、つまり“そのまま読める状態”で保存されていたことが発覚しました。この事件なぜユーザーにとって「リスク」なのか、今からできる回避策と一緒に解説します。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.