「パスワードの定期的変更」、発案者が後悔を表明
「パスワードのベスト・プラクティス、元々の筆者の後悔の後に改訂」
「パスワードは定期的に変更しましょう」といえば「勘違いセキュリティ」として有名ですが、元々の発案者へのインタビューがWSJに掲載されていたようです(上記はそれをもとにしたThe Vergeの記事)。
かつて米NISTに勤めていたこの人物は「かつて行ったことの多くを後悔している」と述べています。ちょっとかわいそう。
代表的な後悔している項目は2つ。
- パスワードは記号や数字を入れた複雑なものにすべし
- パスワードは90日ごとに変更すべし
パスワードに記号や数字を入れること自体は強度を増す意味はありますが、覚えづらくなるのが問題です。定期的変更は言い尽くされてますが、そもそもセキュアにならない上に、変更を強要することで安易なパスワードに流れやすくなる問題があります。
現在ではNISTも指針を改訂していますが、考え方の改訂が広まるのには時間がかかりそうです。
ところで、記事中で引用されているxkcdの「単語の組み合わせ」も忘れやすいと思いますけどね。個人的には(環境により判断基準が異なりますが)パスワードは素直にマネージャ使うのがベストだと思います。