「パスワードは定期的に変更する必要なし」、総務省の方針転換話題に 「むしろパターン化する方が問題」 | 2018/3/27(火) - Yahoo!ニュース https://t.co/XTMlPaFwGK @YahooNewsTopics
— 不破雷蔵 (@Fuwarin) 2018年3月27日
情報の大元となる海外の方ではすでに昨年の時点で「パスワードを定期的に変更しても意味は無いよ」的な話が出て結構話題に上っていたけど、総務省のサイバーセキュリティ関連の情報サイトでも、実のところ2017年11月時点で同様の指南変更をしていたことが判明したという話。
まぁ、なんで定期的に更新する必要があるのかってのを考えると、自分が知らないうちにハッキングされているとヤバいよねということなんで、そのような話が出てこなければ頻繁に変える必要は無い、逆に頻繁に変えてパターン化したらその方が問題だよね、という感じだな。むしろ複数サービスや機器の間で同じパスワードを使い倒す方が問題。
設定と管理のあり方|IDとパスワード|どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト https://t.co/5Erpf6pOD3 「実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません」 pic.twitter.com/VVFrG9rfKL
— 不破雷蔵 (@Fuwarin) 2018年3月27日
「むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます」
— 不破雷蔵 (@Fuwarin) 2018年3月27日
「これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです」
— 不破雷蔵 (@Fuwarin) 2018年3月27日
今後もあちこちで「定期的にパスワードは変更しませう」的な話は出てくるだろう。ただ今回ちゃんと総務省からも「その必要は無いよ」と出た事で、それを見せればオッケーなブツを用意することができた。非常に良いお話に違いない。
執筆:
コメントする