このところ、パスワードは定期的に変更すべきではないとの記事を見るようになった(気がついた)
「パスワードは定期的に変更してはいけない」--米政府
ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、
人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。
どこかの1文字だけを順番に変えていくなどのパターンになりやすい。
実は私も現在定期的なパスワード変更を求められていて、一部を変更するパターンになっていたから
この指摘にはドキッとしてしまう。
総務省、ログインなどで使うパスワードの常識を「定期的な変更は不要」へ180度方針転換
パスワードの定期的変更がセキュリティ対策として危険であることにGoogleとIPAは気づいている
こちらの記事によると
利用者側にパスワードの定期的変更を求めるのは
提供者側が利用者喚起により対策努力を怠っていないと「看做される」ため
利用者側が喚起無視により対策努力を怠っていたと「看做される」ため
に必要な要件になるからです。これは、利用者側へのリスク移転となります。
つまり、パスワードの定期変更はセキュリティ対策ではあるけど、利用者のセキュリティを高める対策ではない、
提供者のセキュリティを高めるために利用者のセキュリティを下げる対策ということです。
なんと!