ついに、Microsoftも「パスワードの定期変更は不要」と宣言

Microsoftが「パスワードの定期変更は不要」と宣言、パスワードに有効期限を定める方針は廃止へ
以下は、記事の抜粋です。


2019年4月24日、Microsoftは パスワードの定期変更に疑問を呈し、「パスワードに有効期限を設ける」というこれまでの方針を廃止したことを明らかにしました(記事をみる)。

Microsoftは、「人間が自分のパスワードを選ぶ時、簡単に予測できるようなものにしてしまいがちです。しかし、覚えにくいパスワードを割り立てたり作成したりすると、他の人が見られる場所に書き留めてしまうことがよくあります。また、自分のパスワードの変更を余儀なくされると、既存のパスワードを予測可能なものに変更したり、新しいパスワードを忘れたりします」と述べ、セキュリティ業界で長年勧められてきたパスワードの定期変更に対して疑問を呈しています。


日本のお役所(総務省)でさえ、昨年の3月に「パスワードを定期的に変えるのは逆に危険です」とアナウンスしているのですから、マイクロソフトの今回の方針廃止はむしろ遅すぎると思います(記事をみる)。

定期的にパスワードの変更を要求すれば、パスワードの安全性が低下することは既に良く知られていますし、提供側が顧客にパスワードの定期変更を要求するのは、安全のためではなく提供側が顧客に責任転嫁するためだ、という説もあるぐらいです。

以前にも書きましたが、定期的なパスワード変更を止める代わり、総務省が参考にしているアメリカの企画標準化団体、米国立標準技術研究所(NIST)は最低64文字でスペースも入れられる「パスフレーズ」を推奨しています。

例えば、”Tr0ub4dor&3″というパスワードよりも、”correct horse battery staple”という「パスフレーズ」の方がはるかに破りにくいそうです。NISTは、定期的なパスワード変更を止める代わり最低64文字でスペースも入れられる「パスフレーズ」を推奨しています(記事をみる)。フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくいということです。

先ずは、多くのサイトでみられるパスワードの字数制限をやめてもらう必要があります。パスワードを8文字以下に指定しているような会社は、セキュリティーが破られたら、会社の責任にすべきだと思います。

連記事
総務省「パスワードを定期的に変えるのは逆に危険です」…何それ今さら?!
パスワードは定期的に変更してはいけない
かえって危ない、パスワードの定期変更

コメント

タイトルとURLをコピーしました