“パスワード変更”をユーザーに定期的に要求はダメ・・・らしい 雑感

今回は、得意分野では無いセキュリティの内容です。
常識と思っていた内容が変わりそうな状況に驚き、思わずまとめました。

１．米国政府機関の米国立標準技術研究所（NIST）のガイドライン

パスワードを定期的に変更することをユーザに要求“してはならない”の
内容を含んだガイドライン「800-63B」を2024年8月にNISTが公開しました。

NIST Special Publication 800-63B

パスワードの定期変更の議論は、2017年頃からされていたようです。
私は、この分野の情報のキャッチアップが遅く知りませんでした・・・。
その結論になるような影響力を持っているようです。

また、総務省のサイトでは、
「むしろ定期的な変更をすることで、
　パスワードの作り方がパターン化（※）し簡単なものになることや、
　使い回しをするようになることの方が問題となります。
　定期的に変更するよりも、機器やサービスの間で使い回しのない、
　固有のパスワードを設定することが求められます。」
と述べています。
流出していないパスワードを変更することでリスクを高めるより、
そのまま使い続けたほうが安全との考えです。

（※）パスワードのパターン化　：1、2、3・・・と変更する　等

２．パスワードの推奨事項

このほかにも、ガイドライン草案では次の推奨事項も挙げています。
・パスワードの最大長を少なくとも64文字まで許可すべきである。
・パスワードに対して他の構成ルール（異なる文字タイプの組み合わせを要件にするなど）を課してはならない。

パスワードが短すぎると総当たり攻撃や辞書攻撃を受けやすくなる、
ユーザは合理的な範囲内で好きなだけ長いパスワードを作成するよう推奨されるべきだとも述べています。
複雑にするよりも、長くすることを重点に置いています。

パスワードの定期的変更も複雑化も、
人間の心理や行動様式から生まれる脆弱性をはらんでいます。
NISTはそれを危惧し、回避する必要があると考えているようです。

３．雑感 常識を更新し続けること

常識と認識していることも時間の経過と共に変わると改めて感じました。
良いと思って対応したことが、
人間の心理、行動が長い時間をかけパターン化されてしまう。
逆に弱点になってしまう。そんな事象では無いでしょうか。

「時間と共に常識が変わる」
経験が長くなると、過去の常識にとらわれてしまいます。
この柔軟性の無さは、ＩＴ業界では、致命的になります。
そのことを改めて感じさせていただきました。

最後までありがとうございました。
笑顔の日がたくさん訪れるよう、共に頑張りましょう。