「パスワードは定期的に変更してはいけない」--米政府
ニューズウィーク日本版 / 2017年5月23日 15時0分
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>
米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。
ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。
【参考記事】パスワード不要の世界は、もう実現されている?!
実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。
「パスフレーズ」の普及を
ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。どこかの1文字だけを順番に変えていくなどのパターンになりやすい。
【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音
仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。
【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか
定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。
NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。
【お知らせ】ニューズウィーク日本版メルマガリニューアル!
ご登録(無料)はこちらから=>>
AJ・デリンジャー
この記事に関連するニュース
-
「パスワード忘れ」のストレス解消へ、韓国で急速に広がる「パスキー」
KOREA WAVE / 2024年9月19日 17時0分
-
Keeper Securityがモバイル端末向けにパスフレーズ生成機能を追加
PR TIMES / 2024年9月19日 10時45分
-
【新製品発売】プロなPDF/RAR/ZIP/Excel/Word/PowerPointパスワード解除ツールPassper Proは登場!
PR TIMES / 2024年9月16日 15時45分
-
Oktaが定義するIDではない“アイデンティティ” - 「Okta Identity Summit Tokyo」開催
マイナビニュース / 2024年9月12日 5時0分
-
銀行から連絡があるのはどんな時? 貯金額が「1000万円」を超えると連絡がくると言われているのはなぜ?
ファイナンシャルフィールド / 2024年9月10日 2時20分
ランキング
-
1イスラエル、ヒズボラ対応で国連事務総長を非難
AFPBB News / 2024年9月25日 15時34分
-
2ウクライナ東部の要塞都市、ロシア軍が攻撃開始
ロイター / 2024年9月25日 13時17分
-
3日本の上空は通過せず、警戒監視に全力=中国ICBMで官房長官
ロイター / 2024年9月25日 16時34分
-
4イスラエル軍がレバノン空爆、ヒズボラ司令官を殺害…死者は子供50人含む569人に
読売新聞 / 2024年9月25日 12時26分
-
5「日本への渡航、警戒を」中国大使館、男児殺害受け注意喚起 「デモや集会に近づかない」
産経ニュース / 2024年9月25日 9時41分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください