NISTの「パスワードには記号や数字を加え定期的に変更する」ルール策定者、間違っていたと後悔 126
ストーリー by hylom
諸悪の根源と言われても仕方が無い 部門より
諸悪の根源と言われても仕方が無い 部門より
あるAnonymous Coward曰く、
米国立標準技術研究所(NIST)で「パスワードには英大文字・小文字・数字・記号を使う」「定期的にパスワードを変更する」といったパスワード設定規則を作成したビル・バー氏が、このルールはほとんど間違っていたとして後悔しているという(ウォール・ストリート・ジャーナル)。
定期的にパスワードを変更することが無意味なことは昨今では頻繁に説明されており、セキュリティについて学んでいる人であれば意味が無く利用者に不便を強いるだけのルールであることはもはや常識だろう。
また、現代ではパスワードクラック技術が向上しており、そのため「英大文字・小文字・数字・記号を使った短いパスワード」よりも、「複数の英単語を単純に並べた文字数の多いパスワード」のほうが安全度が高いという。
よくある勘違い (スコア:5, すばらしい洞察)
無意味(というか有害)なのは、「定期的なパスワード変更を(システム側で)強制すること」です。
Re:よくある勘違い (スコア:4, 興味深い)
うちのシステムがそれだ。
三ヶ月に一回変更しないとログインできなくなる。
パスワードに単語らしきものが入っていると弾かれる。
変更履歴を持っていて一度使ったパスワードは二度と使えない。
パスワードを忘れた場合の再設定は書類を書いて対面認証。
そりゃ、ポストイットに書いてディスプレイに貼り付けが横行するわ。
弊社の場合 (スコア:3, 興味深い)
確かに高そうだ。毎日数十回もパスワードを入力させられてる弊社だけでも、会社全体では一日あたりで延べ40日分パスワード入力に時間を費やしてるって試算があった。
ちなみにこれはセキュリティ委員会で「いくらなんでも無駄すぎないか」という主張の補強に使われたのだが、「セキュリティは全てに優先する」ということで流されてた。
・・・ところで、同じパスワードを毎日数十回も打ち込むのって、それはそれでセキュリティリスクないのかなあ?
Re:弊社の場合 (スコア:1)
ロガーなしでも、
数字をあまり入力しない業務なのに一部の数字キートップだけ擦り減っていたりすると危険かも。
Re:弊社の場合 (スコア:1)
なるほど俺の彼女がキーボードまで掃除してくれる理由……