パスワード定期変更は因習

5/29付け日経産業新聞の記事。パスワードの定期変更は古臭くて時代遅れで価値が低いというお話です。ちなみに「因習」とは、古くから伝わる、とかく弊害を生むしきたりのことですね。定期的な変更を要求されると、ユーザーは覚えやすい数字等を多用したパスワードを作りがちで、かえってパスワードの強度を落としてしまう。こういう話はkuniも聞いたことありました。

米国立標準技術研究所(NIST)のガイドライン

たしかにそうなんですよね。同じパスワードの末尾に1とか2の数字を付けておき、変更のたびにその数字を順に変えていくとか、パスワードの中に入れている記号部分だけを変更していくなんていうやり方ですね。皆さんも似たようなことしてませんか?

ってなことで、米国立標準技術研究所(NIST)は、2017年に公開したガイドラインで、「サービス事業者がパスワードの定期的な変更を要求すべきではない」と明記したそうです。また、今でもたまに見る、パスワード回復のための「秘密の質問」も使うべきでないとしています。

こんなふうにパスワードに対する考え方が変わった理由として、記事では2つ以上の要素を利用した「多要素認証」が広まりつつあることをあげています。

多要素認証

複数要素を組み合わせた認証により、安全性を高めようという考え方で、ユーザーが使用している他の「モノ」で認証する方法や、ユーザー自身の特徴を使うやり方があるとのこと。

前者では、ユーザーが持っているスマホの電話番号をあらかじめ登録させておき、そのスマホにSMS(ショートメッセージ)でワンタイムパスワードを送る方法が紹介されていました。kuniも最近この手の確認求められたことあります。

また、後者はユーザーの身体的特徴を使う方法で、指紋認証や顔認証などがあります。こちらはスマホではかなりの勢いで増加してきてますよね。虹彩認証なんてのもあります。こんなふうに、入力するパスワード以外にもう一つのユーザーしか持っていない情報を認証に使うことで、安全性を高めるという考え方ですね。

まとめ

ということで、パスワードに関するトレンドを見てきたわけですが、kuniの会社ではまだ定期的な変更を要求してきます。実はまさに今がそうでして、「あなたのパスワードは残り〇日で有効期限が切れますので、それまでにパスワード変更を行ってください」とメールが来ているところです。定期的な変更要求というルールを止めたとたんに何かが起きたら、、、と心配する気持ちも分かるけど、もうやめようよこれ、って感じです。