パスワードの安全性にまつわる迷信

頻繁にパスワード変更を求める方針をMicrosoftが撤回するとメディアが伝えている。Techradarによると、Microsoftは「定期的なパスワード変更を必要とするパスワードの有効期限ポリシー」の推奨をやめるそうだ。
写真AC：編集部
頻繁にパスワードの変更を求めると、今までのものをちょっと変えるだけで対応したり、新しいパスワードを忘れたりする人が出てくる。確かに、password12、password23、password34と変えていけば類推されやすいし、新しいパスワードを紙に書いてデバイスの枠に張り付けるのでは意味がない。覚えられないので使いまわしをする人も出てくる。
総務省の「国民のための情報セキュリティサイト」に次のように書かれている。
これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所（NIST）からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです。また、日本においても、内閣サイバーセキュリティセンター（NISC）から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。
しかし、定期的な変更はまだ続いている。クレジットカードサイトをログインした際に変更を求められたので、苦情メールを管理者に送ったが「なしのつぶて」だった。定期的な変

リンク元