BLOGTIMES
« :: »
2017/05/23

パスワードは定期的に変更しなくてよい?

  password  reference  standardization  nist 
このエントリーをはてなブックマークに追加

米国の標準化団体である NIST がまとめている新しいセキュリティに関する規格のドラフト「DRAFT NIST Special Publication 800-63B Digital Identity Guidelines: Authentication and Lifecycle Management」に、管理者がユーザーにパスワードの定期的な変更を求めるべきでないという内容が盛り込まれていることがニュースになっていたのでメモ。

具体的な記述があるのは以下の部分です。

DRAFT NIST Special Publication 800-63B

5.1.1.2. Memorized Secret Verifiers
・・・・・
Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) and SHOULD only require a change if the subscriber requests a change or there is evidence of compromise of the authenticator.

日本語にするならばこんな感じでしょうか。

検証者は、記憶された秘密*1を変更することを一方的に(例えば定期的に)要求すべきではなく(SHOULD NOT)、加入者が変更を要求した場合、もしくは認証機構*2に侵害の証拠が存在する場合にのみ変更を要求すべき(SHOULD)である。

パスワードの強制的な変更要求については SHOULD NOT になっているので、特定の環境下では有益である可能性はあるものの、明確な理由もなくこのようなルールを強制することは推奨されないということが明示されています。

というわけで、ニューズウィーク日本版の「パスワードは定期的に変更してはいけない」という表現は正確ではなく、正しくは利用者が変えたいと思ったときは変えさせるべきだが、管理者が定期的に変えさせるようなルールを課すべきでないということになります。

  • *1: パスワード等のこと
  • *2: パスワード、もしくは暗号モジュールのこと

by hsur at 20:52 [5年前][4年前][3年前][2年前][1年前][1年後][2年後][3年後][4年後][5年後] |
こんな記事もあります 「NIST 定期的 トークン
2024 年の人気エントリ Top 100
経産省とデジタル庁が省令からフロッピーの指定を一掃
2023 年の人気エントリ Top 100
コマンドプロンプトが起動できない(起動してもすぐにウィンドウが消えてしまう)時に確認すべきこと
OmniOS/ZFS サーバに wbadmin でイメージバックアップが取れない時に確認すべきこと
消防設備点検で避難はしごの扉が開いた
今年も人間ドックに行ってきました
個人情報保護委員会の行政機関等向け研修資料にパスワード定期変更を求める記述
デロンギがコーヒー豆のサブスクを始めてた
VMware ESXi を狙ったランサムウェアが発生している
トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/9358
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン

« :: »
Copyright © 2004-2023 by CLES All Rights Reserved.