パスワードを定期的に変更するのは不要。逆に危険という方針に。
総務省が、「パスワードを定期的に変更するのは、かえって危険」という方針で、国民に注意喚起することに変更した。
定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の“常識”を覆すような注意喚起を始めた。「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。方針転換に困惑する声も少なくない。
日本経済新聞 電子版方針変更の背景には、これまでは、定期的にパスワードを変更することでセキュリティを高めるということが常識であったが、「パスワードを定期的に変更する」ということがルーチンワーク化することによって、ユーザーは一定のパターンの中でパスワードを使いまわすようになってしまっていることが問題になっており、今後の方針としては、「各機器やサービスで使いまわしのない固有のパスワードを設定する」こと、としている。
今までは、大手サービスなどでも定期的にパスワードの変更を促すようなサイトもあったが、米国国立標準技術研究所(NIST)が、サービスを提供する側がパスワードの定期的な変更を要求すべきではないというガイドラインを提示したことや、日本においても同様に、内閣サイバーセキュリティセンター(NISC)は、パスワードを定期変更する必要はないという方針を示している。
現在のパスワードの管理の実情においても、パスワード単体で認証するサービスは少なくなってきており、ユーザーの知っていることや、ユーザーが持っているものに基づく、two-factor authentication (2要素認証)や、指紋や顔、静脈や虹彩といったような生体認証(バイオメトリクス認証)を取り入れるサービスが多くなってきている。
ネット上のみんなの反応
やっとかと思っていたけど、「従来の“常識”を覆すような注意喚起を始めた」という感じなのか。
パスワード「頻繁に変更はNG」 総務省が方針転換 :日本経済新聞https://t.co/pMpG5ROxOA
相沢かえで/禁麦は禁酒禁煙よりも難し…… @aizawakaede
「頻繁に変更できるような規則的な文字列」を含んでいると、その分だけ有効桁数が減る、という話、これは納得。あとはサービスごとにパスワード変えるかどうか、ってところか(こっちはやっぱ別々にする必要がある)。 / “パスワード「頻繁に…” https://t.co/bMB7lFgIs7
イグニス@2018社労士試験合格目標 @algernonroom
やっと悪例であることを認めたということで。
次は、「パスワード付ZIPで送れば大丈夫!」について方向転換することを望みましょう。https://t.co/LZEK56T7I0
よき傾向。とにかく長いのがいいんですよ。
「英語の大文字と小文字、数字、記号を組み合わせ、少なくとも10桁にするのが望ましい」
「パスワード『頻繁に変更はNG』 総務省が方針転換」 https://t.co/Ylr0jDeGXW
やっとか。あのパスワード定期変更おじさんはどう反応するのかな。 / パスワード「頻繁に変更はNG」 総務省が方針転換 https://t.co/fxZkme1I7V
まさにゃん/Masaya Kimoto @MasayaKimoto
やっとかよ。まぁお上が言ってくれることで浸透してくれるか(お上が言うことが毎度正しいわけではないがこれはいい仕事)。//「パスワードの定期的な変更は不要」総務省がセキュリティに関する指針を変更 https://t.co/TNu4RWyvZo
該当URLはhttps://t.co/C5rZ66uP74
ですね。
日本のセキュリティポリシーで新たな考え方ができたのではなくて、NISTのガイドラインがそうなったからという理由のようで、もうちょっと理解が深い理由がほしいところ。
情報セキュリティ系の試験の正解も変わってしまうので、要注意です。 https://t.co/gTgXDXgkOA
私の場合、googleさんでパスワード管理しているのが約360件。それ以外にもevernoteとかで管理しているのはカウントできず。定期的に変えるとか元々無理だから。
設定と管理のあり方|IDとパスワード|どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト https://t.co/UOjmqzdDvF
やっとか。十年以上前だけど、同様のことを言っても上には全く通じなかった。ユーザーレベルを高く見積もり過ぎなんだよ。→「むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります」 https://t.co/GkxDIs8EIg
