米セキュリティ指針で「パスワードの定期変更」「秘密の質問」が否定される
2016年6月29日 11:19
あるAnonymous Coward 曰く、 NIST(米国国立標準技術研究所)の傘下部門であるCSD(Computer Security Division)は先週末、米国の政府機関がセキュリティ対策を実施する際の指針となるSpecial Publicationのドラフト版を公開したが、その中で「パスワードの定期変更」「秘密の質問」を明確に否定したことが注目を集めている(Special Publicationドラフト版、INTERNET Watch)。
この文書では、パスワードの定期変更を強いるとユーザーは「Password1」といった具体に末尾に数字を追加するなど意味のない対応を取ることが多いことから、システムはパスワードの定期的な変更をユーザーに要求すべきではないとしている。また合わせて秘密の質問も使用するべきではないとしているとのこと。
これらはいずれも以前から指摘されていた点ではあるが、政府機関が指針に記述したということで、現状はまだドラフト版ではあるものの、今後の認証システムの開発に大きな影響を与えることが予想される。
スラドのコメントを読む | セキュリティセクション | セキュリティ | アメリカ合衆国
関連ストーリー: 連邦取引委員会、「パスワードを定期的に変更する必要は無い」という内容のブログ記事を公開 2016年03月07日 OCNがパスワードを一定期間変更していない一部ユーザーに対しログイン制限を実施 2014年12月08日 「パスワードを定期的に変える」ことを「自宅の鍵を定期的に取り替える」ことに例えてみると 2014年11月10日 IPAのセキュリティ対策キャンペーンテーマから「ID・パスワードは定期的に変更する」が消える 2014年09月10日 総務省が「パスワードを定期的に変更する」とのセキュリティ対策を推奨したことが議論に 2013年12月20日