内閣サイバーセキュリティセンター(NISC)が発行する「情報セキュリティハンドブック」で、「パスワードの定期変更は必要なし。流出時は速やかに変更する」となり、これまでの常識を覆すものとして話題になっています。こちら(PDF版で、第2章・①の⑦[p44])を参照。
「The Wall Street Journal」で、米国「the National Institute of Standards and Technology(NIST)」に所属していた「Bill Burr」氏が発案した「パスワードを定期的に変更する」という事は、誤りだったと告白した事が発端。定期的にパスワード変更を強いると、人間の心理として分かり易い規則的なルールで定期変更しようとしてしまうからです。例えば「”固定文字”+”該当月”」といった具合。
”1234”といったパスワードは論外ですが、適切なパスワードを破られたと分かるまで使い続けるのが良いという状態に戻ってしまいました。問題はパスワードが破られたという事が判断し辛く、それを定期的変更とサイト別パスワード設定で解決しようとしたのは誤りではなかったと思いますが、負担が大きいので人間の心理に抵抗されたという事でしょう。
低コストで実現する手段が考案されるまでは、(当人にとって)覚え易いが複雑な(少しは長く、大文字・記号を含む)パスワードを設定する必要がありますネ。また、パスワード(及び付加情報)の確認ステップが若干増える事にも我慢・・・