誤りを認めるだけマシ・・・
INTERNET Watchの記事に、 「パスワードの定期変更は正しくない」――考案者が自ら過去の過ちを認める発言 てのがありました。
パスワードの定期変更や、パスワードに記号や大文字小文字を盛り込むことは正しくなかった――考案者自身によるこのような告白がWSJに掲載され、世界的に話題になっているそうです。記事によると・・・
告白したのは米国立標準技術研究所(NIST)に勤務していた2003年にパスワードの作成および変更にまつわるルールを考案したBill Burr氏。同氏がまとめた手順書「NIST Special Publication 800-63. Appendix A.」はNISTを通じて世界中で使われるようになったが、それらのルールは結果的に間違いであり、ユーザーが真に利用すべきなのは長く覚えやすいパスワードであり、変更するのは90日ごとではなくパスワードが流出した場合のみだったというもの。
だそうです。これについては自称セキュリティ専門家から高木センセのようなセキュリティエバンジェリストまで、様々な議論が有りました。今回、こういった告白に至った経緯は知る由もありませんが、自らの誤りを認め、正す姿勢は称賛に値するものではないですかね。
ウチでは、お客様に「パスワードは最低8文字以上にして、忘れない限り長くしてください」的なご案内をしてましたが、定期的に変更してくださいというご案内はしたことないですね。
今回の告白が与える影響は小さくないと思いますが、これを機会に再度パスワードに関して見直すいい機会になるのではないかと思います。また、既にパスワードに頼るのは限界に来ていると思いますので、一刻も早く生体認証のような「パスワード以外」の認証方法の普及がなされることを願ってやみません。
皆様もこの機会にパスワードのそのものの見直しや管理、2要素認証などのセキュリティ向上をご検討になってみてはいかがでしょうか?