パスワードの変更は意味なし?
アメリカ商務省(U.S. Department of Commerce)に属する政府機関で、
暗号・サイバーセキュリティ・認証・AIなどの技術標準化やガイドライン策定を担当しています。
今回はそこが発表した内容です。
主に以下の4点
① 定期的なパスワード変更
→ 90日ごとの変更は不要。
漏洩の疑いがあるときだけ変更。
② 特殊文字・大文字・数字の混合ルール
→ 必須ではない。
複雑さより「長さ」を重視。
③ 秘密の質問・パスワードヒント
→ 推測されやすく効果が低い。
使用は非推奨。
④ 過度な文字制限(禁止文字・連続禁止など)
→ 制限が多いほど単純なパターンを選びがち。
柔軟に入力できるほうが安全。
ソース:NIST SP 800-63B(Authentication & Lifecycle Management)
https://pages.nist.gov/800-63-4/sp800...
正直海外のサービスはすでに対応してる所が多く。
未だに日本のサービスは、昔のルール忠実なのが面白くもね!
定期的にパスワード変えてっていうのは、本当に今すぐ辞めるべきだよ!
パスワードっていやね!
筆者:かぴばら
投稿日:2025年11月06日 (木) 13時29分 [no.29744]
投稿日:2025年11月06日 (木) 13時29分 [no.29744]
