今日の気になるニュース

動画・画像・ニュース紹介ブログ

アンテナ系ブログ

パスワードの定期的変更を強制すべきではない。米国国立標準技術研究所が公文書に明記

2016.6.29 10:00 知る歴史・文化 # コメント(-)

1_e35

 オンラインのネットバンクなど、パスワードの定期変更を促すWebサービスは割とよく見かけます。それに従い定期的に変更している人もいるかと思います。

 ところが米国国立標準技術研所(CSD)のコンピューターセキュリティ担当部門がドラフトとして公開された文書「800-63B」の「5.1.1.2. Memorized Secret Verifiers」によると、「ユーザーが攻撃を受けたという証拠がある以外は、認証側は定期的にパスワードの変更を求めるべきではない」と明記されています。
このエントリーをはてなブックマークに追加

 パスワードの定期変更を促すWebサービスは多いですが、ユーザーが前のパスワードに数字を加えるなど、その多くが「一定のパターン」での変更方法なので、一度破られると次も簡単に破られてしまうそうなのです。

 更に同項目では、「最初に飼ったペットの名前は?」といった秘密の質問は本人以外にアクセスを許可するべきではないとしています。なぜならここにパスワードのヒントが隠されている場合があるからです。

 CSDの文書は、アメリカの政府機関が行うセキュリティ対策の指針として用いられており、世界中の政府機関や民間企業が参考としています。今回の文書はまだ草案の段階ですが、これを機会に、IDとパスワードだけに頼らない、指紋やトークンを用いた多要素認証を導入する機運が高まるかもしれません。

via:nist.govitmedia/span>

この記事を読んだ人はこんな記事に興味があります

000

ザイーガ - TwitterザイーガのRSSザイーガのFacebook