Microsoftは4月24日、Windows 10バージョン1903およびWindows Serverバージョン1903のセキュリティベースラインのドラフトを公開。大きな変更点として「パスワードの定期的な変更を促す」というポリシーがはいしされました。総務省も2018年3月に「パスワードの定期的な変更は、かえってリスクを増やしている」と注意喚起していました。
Microsoft「パスワードの定期変更」を促すポリシーを廃止
Microsoftは4月24日、Windows 10バージョン1903およびWindows Serverバージョン1903のセキュリティベースラインのドラフトを公開しました。
大きな変更点は「パスワードの有効期限」に関するポリシーが廃止になっています。パスワードの定期的な変更を「古くて時代遅れになった、非常に価値の低い緩和策」だと説明しています。
Microsoftは禁止パスワードのリストや、多要素認証などを導入することを推奨しています。
総務省「パスワードの定期的な変更は、かえってリスクを増やす」
総務省は2018年3月、「国民のための情報セキュリティサイト」を更新し、「パスワードの定期的な変更は、かえってリスクを増やしている」と注意を呼びかけています。
同サイトでは「「定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題」と指摘。Microsoftのセキュリティベースラインのドラフトでも同様の指摘がされています。
また一般財団法人 日本情報経済社会推進協会のプライバシーマーク制度の審査基準においても、2018年4月10日付の改定で「パスワードの有効期限を設定している」という項目は削除されています。
この「定期的にパスワードの変更」「大文字や小文字を混ぜたパスワードにしなさい」という方法を提唱した専門家も2017年8月、これらのルールが「無意味だった」「今では自分がしたことの多くを悔やんでいる」と明かし、米国の国立標準技術研究所(NIST)では2017年6月に「パスワードの定期的な変更」という記述を削除。
現在は、パスワードの変更が必要なのは「流出した恐れのある場合」のみとされ、パスワードは「長く覚えやすいパスワード」が推奨されています。
まだパスワードの定期変更を促している会社はそろそろ考えたほうがいいのでは?