「パスワードは定期的に変更してはいけない」--米政府
ニューズウィーク日本版 / 2017年5月23日 15時0分
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>
米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。
ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。
【参考記事】パスワード不要の世界は、もう実現されている?!
実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。
「パスフレーズ」の普及を
ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。どこかの1文字だけを順番に変えていくなどのパターンになりやすい。
【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音
仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。
【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか
定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。
NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。
【お知らせ】ニューズウィーク日本版メルマガリニューアル!
ご登録(無料)はこちらから=>>
AJ・デリンジャー
この記事に関連するニュース
-
Apple IDを乗っ取る攻撃に注意、執拗なパスワードリセットの通知に負けるな
マイナビニュース / 2024年5月2日 10時17分
-
バイデン米政権、生成AIリスク管理の指針案などを公表、パブコメ募集(米国)
ジェトロ・ビジネス短信 / 2024年5月1日 13時35分
-
パスワードの定期的な更新が推奨されない理由とは
マイナビニュース / 2024年4月30日 14時11分
-
キーパー・セキュリティ、パスフレーズ生成機能の統合を発表~Keeper内でシームレスに生成、保存されるパスフレーズにより、ユーザーは利便性を損なうことなく、サイバーセキュリティの強化が可能に~
PR TIMES / 2024年4月19日 14時40分
-
Cookieの流出は540億件:ハッカーがCookieを狙う理由
PR TIMES / 2024年4月18日 10時45分
ランキング
-
1習近平氏が5日から5年ぶりに訪欧、米国の対中圧力に対抗 欧州の足並み乱す狙いも
産経ニュース / 2024年5月4日 19時48分
-
2最大の脅威は「ウクライナ戦争ではなく中国」 トランプ陣営のシンクタンクが提言書出版へ
産経ニュース / 2024年5月4日 17時39分
-
3ガザ休戦、詰めの駆け引き ハマス、カイロで交渉開始
共同通信 / 2024年5月5日 0時12分
-
4台湾地震1か月、花蓮の観光客激減・夜市は閑散と…「惨たんたる状況だ」
読売新聞 / 2024年5月4日 18時34分
-
5ゼレンスキー氏ら指名手配 ロシア内務省
共同通信 / 2024年5月5日 0時51分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください