今後NIST(米国標準技術研究所)はパスワードの定期変更を推奨しないそうです。

WebサイトやWebサービスも、不正アクセス等がない限りパスワードが一定期間変更されていませんなどの警告を定表示するのを止めるよう勧告するそうです。

本勧告は、銀行や病院のような個人情報を扱う機関も同等のことです。

これは定期的にパスワード変更を強制しても、ユーザは安易なパスワードを使用する傾向が非常に高く、セキュリティ強度はあまり変わらないためです。

類似パスワードの利用を禁止したとしても、クラッカーはパスワードを解析してしまうため、パスワードの定期変更はユーザ負荷をあげるだけだという見解です。

ではどのようなパスワード管理をすれば良いか？

NISTの推奨はスペースを含めることが出来る最低64文字以上のパスフレーズです。フレーズにすれば覚えやすく、そこまでユーザ負荷があがらずにかつ長い文字列は解析を困難にします。

＃64文字はそれなりに長いような気もしますが、、、リスク低減には変えられませんね

 個人的には日本はパスワードの定期変更を行う文化が根付いてしまっているため、セキュリティ意識の高いユーザ以外には受け入れ辛いと考えています。

ユーザとの認識剥離を埋めつつ、徐々にパスフレーズの採用を推奨していくことが重要だと感じました。