ニューズウィークによると、
アメリカの政府機関は定期的にパスワードを変えるを推奨しないのだそうです。
アメリカの企画標準化団体、アメリカ国立標準技術研究所が発行する
『電子認証に関するガイドライン』の新版からルールを変更する様で、
ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、
「パスワードが長期間変更されていません」などの警告を
定期的に表示するのを止めるよう勧告するみたいです。
銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じです。
近年、情報セキュリティー専門家の間でも、特別の理由がない限り、
ユーザーにパスワード変更を求めるべきではないという考え方が増えてきたようで、
ユーザーは新しいパスワードをいい加減に作る傾向があるそうです。
どうせ数カ月後に変更を求められると思えばなおさらだと。
ノースカロライナ大学の調査によると、定期的にパスワード変更を求められると、
人々は多くの場合、まったく新しく作り直すのでなく、
同じパターンで少しずつパスワードを変更する事が多く、
どこかの1文字だけを順番に変えていくなどのパターンになりやすい傾向があります。
仮に、まったく新しいパスワードを作るよう求めても、
ハッカーはどちらのパスワードでも容赦なく解読します。
パスワードの変更はハッカーよりユーザーに不便を強いる事になると。
定期的なパスワード変更を止める代わり、
アメリカ国立標準技術研究所は最低64文字でスペースも入れられる「パスフレーズ」を推奨。
フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくいと。
アメリカ国立標準技術研究所の通達が出回れば、定期的なパスワード変更の代わりに
「パスフレーズ」を求めるサイトやサービスも増えると予想しています。
うーん、誰が64文字のフレーズを打ち込む気になるのかが問題ですね。
ウェブメールを見るのに64文字打ち込んだ挙げ句、スパムだったりした日には、
アメリカ国立標準技術研究所に怒りの矛先を向けるしかないような気がします。
パスワードを単純に長くしただけではないですか、
そのうち誰かお伽噺の最初のフレーズを使うようになると思います。
1111とか1234とかの時と同じ問題が発生しそうに思うのは私だけでしょうか?
ログインしてコメントを確認・投稿する