「パスワードは定期的に変更してはいけない」--米政府

テクノロジー

ニューズウィーク

 

<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>

 

米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。

 

ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。

 

【参考記事】パスワード不要の世界は、もう実現されている?!

 

実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。

 

 

■「パスフレーズ」の普及を

 

ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。どこかの1文字だけを順番に変えていくなどのパターンになりやすい。

 

【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音

 

仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。

 

【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか

 

定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。

 

NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。


文:AJ・デリンジャー

この記事が気に入ったらいいね!しよう

ニューズウィークの人気記事をお届けします

SNSで記事をシェア

ニューズウィーク

ニューズウィーク

国際ニュース週刊誌『Newsweek』は米国にて1933年に創刊。その日本版として86年に創刊されて以来、『ニューズウィーク日本版』は、世界のニュースを独自の切り口で伝えることで、良質な情報と洞察力ある視点とを提供...

ニューズウィークのプロフィール
ページトップ