パスワードの定期的な変更を強制してはならない。
前々から、定期的なパスワードの変更を行わせるルールはどうかと思っていた。そんなある日、そんなルールの大元を提唱した研究者が「結果的に間違いだった」と語ったという内容をSNSで知った。
最近、このルールの問題点について書かれたものがいろいろ出ているので細かくは書かないが、定期的なパスワードの変更を強制することは、結果として、単純で推測しやすいパスワードの設定やパスワードの使いまわしに繋がる、ということで、そのようなルールや運用は行うべきではない、というものであった。
これは、当時(そして今でも)正に私の身の回りで起きていたことであった。
2017年、米国立標準技術研究所(NIST)はガイダンスを改訂し、「パスワードの定期的な変更をユーザに要求すべきではない」としたとのこと。
日本でも、今では総務省が「定期的な変更は不要」としていて、合わせて、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されている、と書いている。
我々が使うシステムが増え、使用するパスワードが多くなるについて、複雑で推測されにくいパスワードを、各々のシステムに個別に設定することは難しくなっており、それに加えて定期的な変更を要求されると、とてもではないが、要求を満たすことができなくなる。その結果、パスワードを簡単なものにして覚えやすいものにして、変更を一部のみにする、とか、複数のシステムでパスワードを流用するとか、そういうことをせざるを得なくなってくる。そういうことなのだ。
最近は、パスワードだけに依存したセキュリティではなく、多要素認証を行うようになったり、認証システムは改善されてきている。とはいえ、パスワード自体がなくなったわけでもない。正直、管理しきれない。せめて定期的な変更の強制はやめてもらいたい。
最近、とあるシステムの暗証番号を忘れたか、繰り返し間違えるかして、ログインできなくなった。リセット/再登録が必要になってしまった。しょうがないけど、こういうの、何とかならないものか。