パスワードの常識が変わる?90日ごとの変更に意味はない!?
皆さんはパソコンやWebサービスのパスワードにどんな文字列を設定していますか?
「8文字以上」「英大文字・小文字・記号・数字を混合」「90日ごとにパスワード変更」など、企業やWebサービスごとに様々なパスワードポリシーがありますね。
このパスワードポリシーの元になっているのは、米国立標準技術研究所という組織が2003年に発行した「NISTスペシャルパブリケーション800-63 別表A」という冊子です。
発行が2003年ということで、そういえば2003年ぐらいからだったでしょうか、パスワードポリシー策定などが日本の企業で進み始めたのも。
この別表Aには今やセキュリティの世界では常識となっている「大文字小文字の混在」「定期的なパスワード変更」などのアドバイスが載っています。
このアドバイスを執筆した同研究所のビル・バー氏は現在ではこの基準を作成したことを後悔しているそうです。大文字小文字数字を混在させるよりは、様々な単語を組み合わせた長いパスワードのほうが有効だし、90日ごとにパスワードを変更することにも大きな意味がなく、パスワードを変える必要があるのは盗まれた可能性がある時だけで良いと現在はNISTはスタンスを改めています。
これらの事実が日本企業に浸透してパスワードポリシーが変わることはあるのでしょうか。もうしばらく見守ってみる必要がありそうですね。