「パスワードの定期変更はすべきでない」　米研究機関がセキュリティ対策関連の文書で明言

　アメリカの科学研究機関NIST（米国国立標準技術研究所）のコンピューターセキュリティ担当部門、CSD（Computer Security Division）が発行した文書「800-63B」が注目を集めています。デジタル認証のガイドラインとして書かれたもので、パスワードに関する項目に、「パスワードの定期変更はすべきでない」と明記。セキュリティの常識を変える可能性があります。

　焦点となった文言は、「5.1.1.2. Memorized Secret Verifiers」に記載。「ユーザーが攻撃を受けたとの証拠の下に変更を要求した場合を除き、認証側は定期的にパスワードの変更を求めるべきではない」と述べられています。パスワードの定期変更を促すWebサービスは多いですが、ユーザーが前のパスワードに数字を加えるなど、予測しやすい変更を行ってしまいがちなのも事実。そういった観点からの記述と思われます。

　同項目では、例えば「最初に飼ったペットの名前は？」といった、いわゆる「秘密の質問」についても否定。パスワードのヒントとなるものに、本人以外のアクセスを許可すべきではないとしています。

　CSDの文書は、アメリカの政府機関が行うセキュリティ対策の指針として用いられており、世界中の政府機関や民間企業が参考としています。今回の文書はまだ草案の段階ですが、これを機会に、IDとパスワードだけに頼らない、指紋やトークンを用いた多要素認証を導入する機運が高まるかもしれません。

（沓澤真二）

• DRAFT NIST Special Publication 800-63B