米国の政府機関がセキュリティ対策を実施する際に指針とする文書に「パスワードの定期変更をユーザーに要求すべきではない」という内容が盛り込まれました。
【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ – INTERNET Watch
パスワードの定期変更を要求すると、末尾に数字を追加するなどして、規則性が容易に推測されるものが使われるためです。
これでは、パスワードを定期変更する意味はありません。
また、「最初に飼ったペットの名前」といった秘密の質問も使用するべきではないとされています。
以前から言われていたことが、ようやく米国の権威ある研究所から、ドラフト版ではありますが、発表されました。
おそらく、日本でもパスワードの定期変更を要求するところはなくなっていくと思います。
私がよく使うところでは、パスワードの定期変更を要求するところは、金融機関のサイトです。キャッシュカードのパスワードも定期変更を要求されます。
金融機関から「これからはパスワードの定期変更をしなくても結構です」とアナウンスされることはないと思います。
いつの間にか「パスワードを変更してください」と催促されることがなくなるはずです。
パスワードを変更する機能はそのままです。パスワードが誰かに知られた可能性があるときには、変更しなければなりません。
何年後かには、「そういえば、以前はパスワードを変更しろとうるさかったけれども、最近は言われなくなった」と懐かしがられることになります。
パスワードの流用もダメ
パスワード定期変更は、これで消えていきますが、パスワードの重要性は変わりません。
複数のサイトで同じIDとパスワードを使うことは避けなければなりません。
ひとつのサイトで、パスワードが漏えいすると、同じIDとパスワードを使ったサイトが不正アクセスされます。
サイトごとにパスワードは変えなければなりません。
ここでも注意が必要です。
固定の文字列の後ろにサイト名などをつけたパスワードにしていませんか?
このようなパスワードも危険です。ひとつのサイトからパスワードが漏えいすると類推されます。
不正アクセスするための手順も簡単です。漏えいしたパスワードの中にサイト名を含むものがあれば、そのサイト名を別のサイト名に変えて、そのサイトにアクセスすればいいだけです。
サイト名の表現方法が複数あっても、自動的に変更しながら、不正アクセスするプログラムなど簡単に作れます。
まとめ
パスワードの定期変更の要求は、そのうちなくなります。
パスワードの複数サイトでの流用は厳禁です。
パスワードにサイト名を含めるような類推可能なパスワードも危険です。
【関連記事】
