「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ

　NIST（米国国立標準技術研究所）の傘下部門であるCSD（Computer Security Division）が発行する文書のひとつ、Special Publicationは、米国の政府機関がセキュリティ対策を実施する際の指針になる文書として、世界中で一目を置かれる存在だ。そんな中、先週末にドラフトとして公開された文書「800-63B」の「5.1.1.2. Memorized Secret Verifiers」が、これまでのパスワード定期変更論争に終止符を打つものとして注目を集めている。詳細は原文を当たられたいが、パスワードの定期変更では「Password1」といった具合に末尾に数字を追加するなど、その規則性が容易に推測できることなどから、システムはパスワードの定期的な変更をユーザーに要求すべきではないというもの。併せて秘密の質問も使用するべきではないとしており、今後のさまざまな認証システムの開発に多大な影響を与えることは確実だ。攻撃を受けた証拠がある場合は例外だと明記されていること、またこの文書そのものが現時点ではまだドラフトであることは留意する必要があるが、このままいくと、パスワードを定期変更を要求されることが過去のものになる日は近そうだ。

• DRAFT NIST Special Publication 800-63B（NIST）
  https://pages.nist.gov/800-63-3/sp800-63b.html