「パスワードは定期的に変更してはいけない」--米政府
ニューズウィーク日本版 / 2017年5月23日 15時0分
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>
米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。
ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。
【参考記事】パスワード不要の世界は、もう実現されている?!
実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。
「パスフレーズ」の普及を
ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。どこかの1文字だけを順番に変えていくなどのパターンになりやすい。
【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音
仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。
【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか
定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。
NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。
【お知らせ】ニューズウィーク日本版メルマガリニューアル!
ご登録(無料)はこちらから=>>
AJ・デリンジャー
この記事に関連するニュース
-
スマホを乗っ取る「SIMハイジャック」驚きの手口 偽造身分証で「なりすまし」被害増加の背景
東洋経済オンライン / 2024年7月16日 9時0分
-
漏洩したパスワード100億件近くが公開、漏洩の有無の確認を
マイナビニュース / 2024年7月9日 16時16分
-
チェック・ポイント、ASCIIコードをベースとする新たなQRコードフィッシングの手法を発見
PR TIMES / 2024年6月25日 14時15分
-
Kasperskyレポート:1億9,300万件のパスワードを対象に、さまざまな解読手法に対する強度を分析 ~ 45%が1分未満に解読される結果に
PR TIMES / 2024年6月24日 14時45分
-
ランサムウェアの被害に遭った時に必要なパスワードリセットのポイント
マイナビニュース / 2024年6月21日 10時58分
ランキング
-
1イスラエルの入植活動は国際法違反、ICJが勧告 イスラエル反発
ロイター / 2024年7月20日 1時26分
-
2バングラデシュ全土に夜間外出禁止令発出へ…政府はネットを遮断、デモ死者105人に
読売新聞 / 2024年7月20日 12時31分
-
3キーシン氏を「外国の代理人」指定…「我々はプーチンとその取り巻きより長生きする」とSNS投稿
読売新聞 / 2024年7月20日 17時2分
-
4バイデン撤退論が米民主党で急拡大、要求の議員計35人に 本人は選挙戦継続訴える
産経ニュース / 2024年7月20日 8時41分
-
5世界的システム障害、復旧になお数日か 米政権も調査に
ロイター / 2024年7月20日 6時50分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください