パスワードは定期的に変更してはいけない

「パスワードは定期的に変更してはいけない」–米政府
以下は、記事の抜粋です。

米政府機関はもう、パスワードを定期的に変えるのを推奨しない。

ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。

ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。どこかの1文字だけを順番に変えていくなどのパターンになりやすい。

仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。

定期的なパスワード変更を止める代わり、アメリカの企画標準化団体、米国立標準技術研究所（NIST）は最低64文字でスペースも入れられる「パスフレーズ」を推奨する。フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。

NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。

昨年8月にもほぼ同じ趣旨の記事を紹介しました（記事をみる）。

意外ですが、”Tr0ub4dor&3″というパスワードよりも、”correct horse battery staple”という「パスフレーズ」の方がはるかに破りにくいそうです。以下の図はその説明です。