もうね、一般的な Web サイトでは、会員登録の際にユーザー ID とパスワードが設定されて、一定の期間がすぎるとパスワードを変更せよとメッセージを出してきます。これね、めんどくさいだけでなくあんまり推奨できないと思っています。以前にもこの話題が出て、そうだそうだと相づちを打っていたんですが、どうにも方向が変わりません。パスワードの定期変更なんてめんどくさいだけで効果ないと思ってます。
2017 年 6 月に全面改定が行われた米国標準技術研究所( NIST )が発行するガイドライン「 SP800-63 」の中には「 Web サイトは利用者に対し、パスワードの定期的な変更を要求すべきではない」という趣旨の一文が追加された。複雑なパスワードの強制と同様、定期変更の要求はメリットよりもデメリットが多かったのだ。
じゃ同じパスワードでいいのか?
私は、可能な限り多くの桁数で可能な限り多くの文字種を使い可能な限りランダムな文字列で作られたパスワードをパスワード管理ソフトを使って各サイトごとに設定するのがよろしいと思うのです。最近はパスワード管理ソフトもたくさん出ています。人間の脳みそはそんな複雑なものをたくさん覚えてなんていられませんので、パスワード管理ソフトに任せる。
ところが、ウェブサイトによってはパスワードに記号が使えなかったり、凄いところになると数字のみなんてところもあります。桁数に関しても、 8 文字までとか「ふざけてるんか?」と思うところも多いのですよね。最低でも私は 20 桁ぐらい欲しいと思ってます。パスワードを解析するソフトの中には、総当たりでパスワードを試すものなんてのもあります。こういったもののために、桁数は最大値を取らずにちょっと違うものにするのもいいと思います( MAX20 桁だったら 18 桁にするとか)。
文字種を増やす。桁数を増やす。これをね、再設定の代わりにぜひ進めて欲しいのです。パスワードの定期変更なんて時代遅れですよ。
投稿者プロフィール
最新の投稿
Windows2024年4月24日Windows11 の Wi-Fi 不安定
Linux2024年4月21日Ubuntu24.04 リリース間近
Linux2024年4月15日md127 問題
Linux2024年4月15日ピンチ! 容量がない!!
