最近、クールビズ関係で「空調28度にしろっていう根拠はとくにない」発言があって各所に激震が走りましたが、今度はパスワード関係。これもまた凄い話。

 ▼「パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」」(ITmediaNEWS)

 「パスワードには、大文字や小文字、数字、記号を盛り込み、定期的に変更する」――こうしたルールは間違いかもしれない。ルールを提唱した、米国立標準技術研究所(NIST)の元研究者ビル・バー氏は「結果的に間違いだった」と後悔しているという。米Wall Street Journalが8月7日に報じた。
(中略)
 例えば「90日ごとに変更する」となると、ユーザーの大半が「Pa55word!1」を「Pa55word!2」に変えるだけ――というように類似のパスワードを使い回しており、悪意あるハッカーの攻撃を防げないという。NISTによれば、パスワードを変更すべきなのは、盗まれた可能性があるときだけでよいとしている。

 「大文字や小文字、数字、記号を組み合わせる」というルールも、混乱を招くだけで、的外れなアドバイスだったという。

 今年6月に冊子「800-63」は全面改訂され、こうした“最悪のルール”は撤廃された


まあ提唱したルールが問題というより、ルールの内容をきちんと汲み取ってやるやつがほとんどいないことが問題、みたいな話ではありますが、たしかに「大文字小文字の組み合わせ」や「定期的な変更」というのは現実的に負荷が大きい。ユーザーの現実を考慮していなかったという反省のように読めます。

「パスワード」というのは「私だけがすぐに分かる便利なもの」であるべきなのに、「私にもすぐにはわからない不便なもの」になってしまったら意味がないですしね。

あと、こういう話になってはいるけれど、実際問題定期的にパスワード変更したり、複雑な文字列の組み合わせにしたほうがセキュリティ効果が高いってのは確かだと思います。それを実行できるなら、あるいは是が非でも守りたいセキュリティであるなら、実行したほうがいいんじゃないかなぁ。

しかし、これで各種サイトの「パスワードは大文字と小文字で……」とか、「定期的に変更を……」みたいなウザい縛りや通知、なくなるのかなぁ。なくなってほしいですねぇ。