パスワードの定期変更

2021-09-14

定期変更の是非

2017年の米国国立標準技術研究所(NIST)のガイドライン改定を受け、総務省も方針転換して以下のような内容になっています。

実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html

NISTや総務省が定期的なパスワード変更を推奨しない(むしろ問題になる)ということになったので、パスワードの定期変更へのお墨付きは無くなったと思います。

それでも定期変更に全く価値がないわけじゃないよね

という反論もありそう。
きちんと毎回固有の複雑で長いパスワードを作って変更できれば意味があるかもしれません。
が、きちんと複雑で長いパスワードであれば簡単破られることは無いと思われます。

そして、ユーザー全体で見た時にそういったことができるユーザーはいたとしてもごく僅かで、大部分のユーザーにとっては問題となるので、定期的な変更を求めないほうが良いという事になったのだと思います。

「人間が怠惰でなければ、定期変更のデメリットは出ないかもしれない。でも、実際の人間はそうではない」。EGセキュアソリューションズの徳丸代表取締役は苦笑しながら話す。

https://xtech.nikkei.com/it/atcl/column/17/092800400/101500004/

そういうことですね。

参考リンク