パスワードの定期変更はすべきでない!?

アメリカの科学研究機関NIST(米国国立標準技術研究所)にコンピューターセキュリティ担当のCSD(Computer Security Division)って言う部門があります。
このCSDが発行した文書に凄いことがかかれています。
デジタル認証のガイドラインの報告文書なのですが...

Verifiers SHOULD NOT impose other composition rules (mixtures of different character types, for example) on memorized secrets.
Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) unless there is evidence of compromise of the authenticator or a subscriber requests a change.

認証者は、他の構成規則(例えば英数字・記号などの異なる文字種の混在)をパスワードとして強要してはいけません 。
認証者は、加入者からの要請がない限り、任意に(例えば定期的に)パスワードの変更を求めるべきではない

↑なんだそうです。

パスワードをどうするってなったとき、自分にはわかって、他人にわからないものって考えると、誕生日とか住所、電話番号とか、どうしても記憶の中にある英数字・記号になりますよね。
最初のウチは、多少、ややこしいのでも覚えていられるのですが、何度も変更していて、以前使用したパスワードが使えないってなると、もうネタ切れ。

そうすると、前のパスワードを逆さにしたり、前のパスワードに数字を追加するだけとか、予測しやすい変更を行ってしまいがちなんですよね。

さらにこの文書...
Memorized secret verifiers SHALL NOT permit the subscriber to store a “hint” that is accessible to an unauthenticated claimant. Verifiers also SHALL NOT prompt subscribers to use specific types of information (e.g., “What was the name of your first pet?”) when choosing memorized secrets.

「最初にに飼ったペットの名前は?」と言うような秘密の質問は推奨しません。

うーん...いろんなサイトから「パスワードは定期的に変更してください」ってメールが来るけど、必ずしもコレはセキュリティの面で有効では内ってことなのかしら??
では、どうすれば??と言う質問に辿り着くワケですけど、最終的にはIDとパスワードだけに頼らない、指紋などの生体認証とか、そう言う形になるのでしょうね。

IDとパスワード管理に関して、今一度、注意しなくちゃな!って思わせてくれる記事でした。

原文を読みたい方は、↓こちらを↓をクリックしてくださいね。

DRAFT NIST Special Publication 800-63B
Digital Authentication Guideline