アメリカの政府機関である国立標準技術研究所（NIST）が発表したガイダンス「SP800―63B」の中で、「組織はユーザーに定期的なパスワード変更を要求してはならない」と言及したことが話題となっている。同ガイドラインは米連邦政府機関のシステムを対象としているが、多くの国や地域、企業のガイドラインの一つの基準となっている▼今や多くのWebサービスが、当然のようにアカウント作成に伴うIDとパスワード設定を要求している。一方で、セキュリティ上の理由で、設定するパスワードに対する要求は複雑化の一途をたどっている。大文字や記号の採用、一定以上の文字数設定は一つの事例だろう。同様にセキュリティ上の理由で、他のサービスで使用しているパスワードとの重複を避けるよう指示してきたり、頻繁に更新を求める要求は、記者のように物忘れの多い人間にとってはさながら拷問のような時間に違いない▼同機関が新たに定めたガイドラインでは、「定期的にパスワードを変更するようユーザーに要求してはならない」としている。また、文字種については、大文字小文字の混在や数字、記号の使用を強制するような複雑な規則を課さないよう求めているという。研究により、頻繁な変更がかえってパスワードの脆弱化につながる点や、複雑な規則が必ずしも安全性につながるわけではなく、利便性を損なう可能性が指摘されたという。朗報である。（K）

この記事を書いた記者

kobayashi

主に行政と情報、通信関連の記事を担当しています。B級ホラーマニア。甘い物と辛い物が好き。あと酸っぱい物と塩辛い物も好きです。たまに苦い物も好みます。

最新の投稿

• 情報通信2024.11.20Asana、AI Studio を発表
• 情報通信2024.11.20オープンイヤー型ヘッドホンにおけるANCの広帯域化を世界で初めて実現
• 筆心2024.11.202024年11月18日（7743号）
• 筆心2024.11.202024年10月28日（7736号）