BLOGTIMES
2017/05/23

パスワードは定期的に変更しなくてよい?

  password 
このエントリーをはてなブックマークに追加

米国の標準化団体である NIST がまとめている新しいセキュリティに関する規格のドラフト「DRAFT NIST Special Publication 800-63B Digital Identity Guidelines: Authentication and Lifecycle Management」に、管理者がユーザーにパスワードの定期的な変更を求めるべきでないという内容が盛り込まれていることがニュースになっていたのでメモ。

具体的な記述があるのは以下の部分です。

DRAFT NIST Special Publication 800-63B

5.1.1.2. Memorized Secret Verifiers
・・・・・
Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) and SHOULD only require a change if the subscriber requests a change or there is evidence of compromise of the authenticator.

日本語にするならばこんな感じでしょうか。

検証者は、記憶された秘密*1を変更することを一方的に(例えば定期的に)要求すべきではなく(SHOULD NOT)、加入者が変更を要求した場合、もしくは認証機構*2に侵害の証拠が存在する場合にのみ変更を要求すべき(SHOULD)である。

パスワードの強制的な変更要求については SHOULD NOT になっているので、特定の環境下では有益である可能性はあるものの、明確な理由もなくこのようなルールを強制することは推奨されないということが明示されています。

というわけで、ニューズウィーク日本版の「パスワードは定期的に変更してはいけない」という表現は正確ではなく、正しくは利用者が変えたいと思ったときは変えさせるべきだが、管理者が定期的に変えさせるようなルールを課すべきでないということになります。

  • *1: パスワード等のこと
  • *2: パスワード、もしくは暗号モジュールのこと

トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/9358
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン