未だに変更を促してるところもあるけどね・・・
ITmediaの記事に、「パスワードの定期的変更は、古びた時代遅れの極めて価値の低い対策」、Microsoftが次期大型アップデートでポリシー変更 てのがありました。
Microsoftは4月24日(現地時間)、間もなくリリースされるWindows 10の次期大型アップデート「Windows 10バージョン1903」(19H1)と「Windows Serverバージョン1903」について、セキュリティベースライン設定のドラフト版を公開したそうです。記事によると・・・
今回のドラフトでは、「パスワードの定期的な変更を促していたポリシー」の廃止が盛り込まれたことが注目されている。Microsoftはこれについて、「パスワードセキュリティの現状に問題があることは疑いようがない」と認めている。
だそうです。詳細は記事に譲りますが、このパスワードの定期変更については、本ブログでも2017年に 「パスワードの定期変更は正しくない」NISTの担当者が自ら過去の過ちを認める発言 とのエントリーで取り上げてます。
このエントリーでは、米国立標準技術研究所(NIST)に勤務していた2003年にパスワードの作成および変更にまつわるルールを考案したBill Burr氏が 「パスワードの定期変更は正しくない」としており、当時非常に注目を浴びました。
すでに2年前からこういった状況ではあったわけですが、今回Microsoftが「パスワードの定期的な失効は、古びた時代遅れの極めて価値の低い対策であり、ベースラインとして徹底させる価値はない」としたのは、妥当な判断と言えそうです。
もちろん「定期変更」に意味がないだけで、パスワードが流出した場合にはもちろん変更が必要なのは言うまでもありません。
日本の役所や、公的なサービス、民間のウェブサービスなどでも未だにパスワードの定期的変更を求めるところがありますが、そういったサービスも今回のMSの対応に習って、是非方針を変更していただきたいものですね。
現在 「パスワードの定期変更」をされている方も、この機会に是非見直してみてはいかがでしょうか?