「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所(NIST)が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。
多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。
これは、Webサイトやソフトウェアにおいて、定期的なパスワードを変更することが実際にはセキュリティを損なうことを示す数十年にわたる研究に基づいている。
パスワードを変更するたびに、攻撃者が推測しやすい貧弱なパスワードをユーザーが選んでしまうことが示されている。例えば、無数のパスワードを覚えられないため、単純な単語やフレーズに増加する数字を付け加えるだけといった悪い決定をし始める。「password1」「password2」「password12」というように。
新しく定めた標準では、NISTはオンラインツールやソフトウェアが「定期的にパスワードを変更するようユーザーに要求してはならない」としている。これは、頻繁な変更がかえって脆弱なパスワードの使用につながる可能性があるためである。ただし、パスワードの侵害が疑われる場合は、即座に変更を強制する。
パスワードの長さについては、最低8文字を必須とし、15文字以上を推奨している。最大長は少なくとも64文字まで許可すべきである。これにより、ユーザーが十分に長く、複雑なパスワードを設定できるようになる。
文字種については、印刷可能なASCII文字とスペース、さらにはUnicode文字も受け入れるべきである。ただし、大文字小文字の混在や数字、記号の使用を強制するような複雑な規則は課さない。これは、そのような規則が必ずしもパスワードの強度を高めるわけではなく、むしろユーザーの利便性を損なう可能性があるためである。
全文はソースでご確認ください。
https://www.itmedia.co.jp/news/articles/2410/07/news054.html
引用元: ・米政府機関、“パスワード変更”をユーザーに定期的に要求はダメ 脆弱なパスワード使用につながる [生玉子★]
グループウェアのパスワード変更を半年ごとに強制なんだが、
過去に使ったパスが「以前使われたパスワードです」と弾かれるんだよ
過去何年ぶんのパスワード履歴を全部保管してるってことだよな
逆に危なくねえか?これ
2カ月で強制的に変えさせられてるけど
6.7回くらい前まで記録されてて同じの止めろとエラー出るわ
こんなもん覚えられっこないから一文字づつ順番で変えてるだけだが
記録まとめて漏れたら今何か傾向で完全にばれるw
パスワードの文字列そのものを保存してるわけじゃないから問題ない
・・・はずなんだが、時々生のパスワードそのものを保存してるケースもあるからなんとも言えんな。
(流出したパスワードで他のサイトに侵入されてしまうのはまさにこのケース)
半年はまだいい方なのでは
3か月で変更が2つあったわ