「パスワードの定期的変更」、発案者が後悔を表明

「パスワードのベスト・プラクティス、元々の筆者の後悔の後に改訂」

www.theverge.com

「パスワードは定期的に変更しましょう」といえば「勘違いセキュリティ」として有名ですが、元々の発案者へのインタビューがWSJに掲載されていたようです(上記はそれをもとにしたThe Vergeの記事)。

かつて米NISTに勤めていたこの人物は「かつて行ったことの多くを後悔している」と述べています。ちょっとかわいそう。

代表的な後悔している項目は2つ。

  • パスワードは記号や数字を入れた複雑なものにすべし
  • パスワードは90日ごとに変更すべし

パスワードに記号や数字を入れること自体は強度を増す意味はありますが、覚えづらくなるのが問題です。定期的変更は言い尽くされてますが、そもそもセキュアにならない上に、変更を強要することで安易なパスワードに流れやすくなる問題があります。

現在ではNISTも指針を改訂していますが、考え方の改訂が広まるのには時間がかかりそうです。

ところで、記事中で引用されているxkcdの「単語の組み合わせ」も忘れやすいと思いますけどね。個人的には(環境により判断基準が異なりますが)パスワードは素直にマネージャ使うのがベストだと思います。