「パスワードの定期的変更」は基本的には無意味

　あるAnonymous Cowardのタレコミより。セキュリティ研究家の徳丸浩氏が、「パスワードの定期的変更は無意味である」という理由について語っている（パスワードの定期的変更について徳丸さんに聞いてみた(1)、パスワードの定期的変更について徳丸さんに聞いてみた(2)）。

　アカウントのセキュリティ対策の1つとして、パスワードを定期的に変更するというのは昔から提唱されている。OSによっては、パスワードの変更後一定期間経つと強制的にパスワードの変更を求めるものもある。しかし、徳丸氏によると、このような一定期間でのパスワードの変更はあまり意味が無いという。

　パスワードの変更に意味があるのは、攻撃者にパスワードが漏洩した後、その攻撃者が長期にわたってそのパスワードを使ってアカウントを監視し情報を盗み取るようなケースのみだという。それよりも、12文字以上の長いパスワードを使うことや、パスワードの使い回しをしない、二段階認証などセキュリティ的に強固な認証機構を利用する、といったことのほうが重要であると述べられている。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
じゃらん.netとGREEでも外部サービスから流出したパスワードを使用したとみられる不正ログイン 2013年08月10日
「信頼の証」としてパスワードを交換する青少年たち 2012年01月23日
生パスワードを平文メールで送ってくる企業 2010年11月10日
大学パスワード管理の現状 2002年05月05日