インフラ管理者の悩みは色々とありますが、その一つが利用者のパスワード忘れたというものがあるかもしれません。もしくは、アカウントがロックされたなど。
多くは3か月に1度パスワードを変更するポリシーにしているかもしれませんが、総務省、NISCが定期的なパスワードの変更は不要にポリシー変更したそうです。元記事はこちら。
総務省、ログインなどで使うパスワードの常識を「定期的な変更は不要」へ180度方針転換
記事によると、総務省は、安心してインターネットを使うための情報コンテンツ「国民のための情報セキュリティサイト」を公開しているが、パスワードに関しての設定と管理のあり方で「定期的な変更は不要」としているとのこと。この方針にびっくりしましたが、以前からこのパスワードの変更については、議論がありましたよね。
以前は、セキュリティのために「定期的に変更すべき」という文言があったそうですが、2017年11月には「定期的な変更は不要」と変更し、最近になって日経新聞の記事をきっかけにその方針転換が話題となっているとのこと。
なぜ、それまでとは180度異なるやり方を推奨するようになったかと言うと、「実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります」(サイトより引用)としている。
確かにそうですね。私も定期的に変更するパスワードは「XXXXXXX1」とか数字を変えるだけにしています。毎回違うロジックで作ると忘れますからね。
総務省のサイトだけではなく、内閣サイバーセキュリティセンター(NISC)でも、パスワードの定期変更は否定していて、流出時に速やかに変更するという対応が正しいとされている。
なお、本サイトではパスワードだけではなく、ウイルス感染や不正アクセスなど、インターネットに潜む危険について説明しているので、ネットセキュリティに興味がある方はぜひご覧いただきたい。
ということで、重要なのは簡単なパスワードを設定しないということです。リスト攻撃ですぐに破られてしまいますから、複雑性は持たせるようにしましょう。
そして、その複雑性を持たせる代わりに、アカウントロックの設定は必ず入れて置き、不正アクセスに気づく術を施す必要があります。また、そういった対策がある前提で、パスワードの定期的な変更を無効にしてもいいでしょう。
パスワードポリシーについては、しっかりと考える必要がありますね。