1
2017年5月23日

<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>

米政府機関はもう、パスワードを定期的に変えるのを推奨しない。
アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。

ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、
「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。
銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。


実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。
なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。
どうせ数カ月後に変更を求められると思えばなおさらだ。

「パスワードは定期的に変更してはいけない」--米政府
http://www.newsweekjapan.jp/stories/world/2017/05/-----2.php


「パスフレーズ」の普及を

ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、 人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。
どこかの1文字だけを順番に変えていくなどのパターンになりやすい。(略)

定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。
フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。(略)

136
>最低64文字でスペースも入れられる「パスフレーズ」
イイネ


3
ある程度簡単に推察されづらいようなパスワード設定してるにもかかわらず
それを何度も変更するのはさすがに無駄だわ


110
>>3
以前、日経コンピュータの記事で、
パスワード8文字ぐらいの例だったが、
毎秒変えようと10年同じなのと破られる可能性は
0.000001%ぐらいしか違わないって載ってた


4
あるあるw


5
パスワードジェネレーターで作ってるけど、使える文字や字数がサイトによって違うのは
なんとかしてほしい。パスワードに記号が使えないサイトとかあるもんな。


【アメリカ政府「パスワードは定期的に変更してはいけない」→なぜなのか?】の続きを読む