アメリカの科学研究機関NIST(米国国立標準技術研究所)のコンピューターセキュリティ担当部門、CSD(Computer Security Division)が発行した文書「800-63B」が注目を集めています。デジタル認証のガイドラインとして書かれたもので、パスワードに関する項目に、「パスワードの定期変更はすべきでない」と明記。セキュリティの常識を変える可能性があります。
焦点となった文言は、「5.1.1.2. Memorized Secret Verifiers」に記載。「ユーザーが攻撃を受けたとの証拠の下に変更を要求した場合を除き、認証側は定期的にパスワードの変更を求めるべきではない」と述べられています。パスワードの定期変更を促すWebサービスは多いですが、ユーザーが前のパスワードに数字を加えるなど、予測しやすい変更を行ってしまいがちなのも事実。そういった観点からの記述と思われます。
同項目では、例えば「最初に飼ったペットの名前は?」といった、いわゆる「秘密の質問」についても否定。パスワードのヒントとなるものに、本人以外のアクセスを許可すべきではないとしています。
CSDの文書は、アメリカの政府機関が行うセキュリティ対策の指針として用いられており、世界中の政府機関や民間企業が参考としています。今回の文書はまだ草案の段階ですが、これを機会に、IDとパスワードだけに頼らない、指紋やトークンを用いた多要素認証を導入する機運が高まるかもしれません。
(沓澤真二)
コメントランキング
「FNS歌謡祭 第1夜」であなたが良かったと思うアーティストは?【人気投票実施中】(投票結果) | 音楽 ねとらぼリサーチ
「FNS歌謡祭 第2夜」であなたが良かったと思うアーティストは?【人気投票実施中】 | 音楽 ねとらぼリサーチ
今川焼? 大判焼き? あの“円形の厚焼き和菓子”の名前は? 47都道府県別・呼び方の勢力図を公開!(投票結果) | グルメ ねとらぼ
東京都「ちゃん系ラーメン」の名店12選! 一番うまいと思う店はどこ?【人気投票実施中】(投票結果) | ラーメン ねとらぼリサーチ
「FNS歌謡祭」第2夜、本日放送! タイムテーブルと歌唱曲まとめ 「DISH// × King & Prince」など豪華コラボも必見!【人気投票実施中】(投票結果) | 音楽 ねとらぼリサーチ