- blogs:
- cles::blog
2017/05/23
パスワードは定期的に変更しなくてよい?
password reference standardization nist
米国の標準化団体である NIST がまとめている新しいセキュリティに関する規格のドラフト「DRAFT NIST Special Publication 800-63B Digital Identity Guidelines: Authentication and Lifecycle Management」に、管理者がユーザーにパスワードの定期的な変更を求めるべきでないという内容が盛り込まれていることがニュースになっていたのでメモ。
- 「パスワードは定期的に変更してはいけない」--米政府 | ワールド | 最新記事 | ニューズウィーク日本版 オフィシャルサイト
- Password Security: NIST Says You Shouldn't Periodically Change Your Password
具体的な記述があるのは以下の部分です。
DRAFT NIST Special Publication 800-63B
5.1.1.2. Memorized Secret Verifiers
・・・・・
Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) and SHOULD only require a change if the subscriber requests a change or there is evidence of compromise of the authenticator.
日本語にするならばこんな感じでしょうか。
検証者は、記憶された秘密*1を変更することを一方的に(例えば定期的に)要求すべきではなく(SHOULD NOT)、加入者が変更を要求した場合、もしくは認証機構*2に侵害の証拠が存在する場合にのみ変更を要求すべき(SHOULD)である。
パスワードの強制的な変更要求については SHOULD NOT になっているので、特定の環境下では有益である可能性はあるものの、明確な理由もなくこのようなルールを強制することは推奨されないということが明示されています。
というわけで、ニューズウィーク日本版の「パスワードは定期的に変更してはいけない」という表現は正確ではなく、正しくは利用者が変えたいと思ったときは変えさせるべきだが、管理者が定期的に変えさせるようなルールを課すべきでないということになります。
トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/9358
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form
コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。
OpenID を使ってログインすることができます。
サイト内検索
検索ワードランキング
へぇが多いエントリ
閲覧数が多いエントリ
1 . Word で数式がグレーアウトされていて挿入できないときは(8913)
2 . awk で指定した n カラム目以降を出力する(6842)
3 . Windows 10 で勝手にログアウトされないようにする(6525)
4 . Thunderbird のメッセージをスレッド化しないようにする(5787)
5 . ネットワーク機器を廃棄する前に設定情報の消去を(4735)
2 . awk で指定した n カラム目以降を出力する(6842)
3 . Windows 10 で勝手にログアウトされないようにする(6525)
4 . Thunderbird のメッセージをスレッド化しないようにする(5787)
5 . ネットワーク機器を廃棄する前に設定情報の消去を(4735)
cles::blogについて
Referrers
20190270
(W:9297 Y:1509 T:0685)
