あの面倒くさいシステムは、この人のせいだったのか・・・・・
【やじうまWatch】 「パスワードの定期変更は正しくない」――考案者が自ら過去の過ちを認める発言 – INTERNET Watch
パスワードの定期変更や、パスワードに記号や大文字小文字を盛り込むことは正しくなかった――考案者自身によるこのような告白がWSJに掲載され、世界的に話題になっている。
告白したのは米国立標準技術研究所(NIST)に勤務していた2003年にパスワードの作成および変更にまつわるルールを考案したBill Burr氏。同氏がまとめた手順書「NIST Special Publication 800-63. Appendix A.」はNISTを通じて世界中で使われるようになったが、それらのルールは結果的に間違いであり、ユーザーが真に利用すべきなのは長く覚えやすいパスワードであり、変更するのは90日ごとではなくパスワードが流出した場合のみだったというもの。このNISTルールはすでに改訂され、現在では定期変更および利用文字についての記述は削除されているが、10~15年にわたって正しいとされてきた常識の誤りが世界中に行き渡るには途方もない時間がかかるとみられ、Bill Burr氏自身は深く後悔しているだそうだ。NISTの標準化手順を信頼して利用することの多い日本にとっても対岸の火事とはいえず、広く認知されるべき問題であることは間違いない。
だがバー氏は、アドバイスは結果的にほとんど間違っていたと話す。90日ごとにパスワードを変更するとなると、推測されやすい小幅な変更にとどめる人が大半だという。「Pa55word!1」を「Pa55word!2」に変えただけではハッカーを防げない。
また、小文字や数字や大文字、感嘆符や疑問符などの特殊文字を組み合わせるという、指が絡まりそうなアドバイスも的外れだった。
(略)
いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない。これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」とグラッシ氏は述べている。
まじで、90日毎のパスワード変更、過去10回のパスワードは使えないとかいう困ったシステムをなんとかしてほしいと思う今日この頃です。
しーゆー。