パスワードの定期的な変更

Microsoftも、公式にパスワードの定期変更は不要との見解を出しました。去年は総務省も同じ見解を出しましたし、NISTでも同じような見解を出しています。

私もセキュリティの研修をしている中で、一部の研修では、パスワードの定期的な変更については、もう触れないようにしているのですが、個人的には、パスワードは定期的に変更した方がいいのになぁ、と思っています。

もちろん、定期的に変更させることによって、破られやすいパスワードになってしまう可能性は高まってしまうと思いますし、2要素以上の認証も増えてきているという背景はあると思うのですが、万一パスワードが漏洩してしまった場合、そのパスワードを不正に利用される期間を限定的にできるという意味で、パスワードの定期変更は有用なのではないかと思っています。

システム的に強制するかどうかはともかくとして、個人的には定期的に変えていきたいなぁ、と思います。