もうね、一般的なWebサイトでは、会員登録の際にユーザーIDとパスワードが設定されて、一定の期間がすぎるとパスワードを変更せよとメッセージを出してきます。これね、めんどくさいだけでなくあんまり推奨できないと思っています。以前にもこの話題が出て、そうだそうだと相づちを打っていたんですが、どうにも方向が変わりません。パスワードの定期変更なんてめんどくさいだけで効果ないと思ってます。
2017年6月に全面改定が行われた米国標準技術研究所(NIST)が発行するガイドライン「SP800-63」の中には「Webサイトは利用者に対し、パスワードの定期的な変更を要求すべきではない」という趣旨の一文が追加された。複雑なパスワードの強制と同様、定期変更の要求はメリットよりもデメリットが多かったのだ。
じゃ同じパスワードでいいのか?
私は、可能な限り多くの桁数で可能な限り多くの文字種を使い可能な限りランダムな文字列で作られたパスワードをパスワード管理ソフトを使って各サイトごとに設定するのがよろしいと思うのです。最近はパスワード管理ソフトもたくさん出ています。人間の脳みそはそんな複雑なものをたくさん覚えてなんていられませんので、パスワード管理ソフトに任せる。
ところが、ウェブサイトによってはパスワードに記号が使えなかったり、凄いところになると数字のみなんてところもあります。桁数に関しても、8文字までとか「ふざけてるんか?」と思うところも多いのですよね。最低でも私は20桁ぐらい欲しいと思ってます。パスワードを解析するソフトの中には、総当たりでパスワードを試すものなんてのもあります。こういったもののために、桁数は最大値を取らずにちょっと違うものにするのもいいと思います(MAX20桁だったら18桁にするとか)。
文字種を増やす。桁数を増やす。これをね、再設定の代わりにぜひ進めて欲しいのです。パスワードの定期変更なんて時代遅れですよ。
投稿者プロフィール
最新の投稿
Raspberry Pi2023年11月30日Raspberry Pi zero 2 WからBluetoothで音楽を流す
ラーメン2023年11月26日ラーメン山岡家 ネギ味噌ラーメン
Windows2023年11月23日Windows11マシン不調
TrueNAS2023年11月17日TrueNAS SCALEサーバーのエラー
