「パスワードの定期変更は正しくない」――考案者が自ら過去の過ちを認める発言

　パスワードの定期変更や、パスワードに記号や大文字小文字を盛り込むことは正しくなかった――考案者自身によるこのような告白がWSJに掲載され、世界的に話題になっている。

　告白したのは米国立標準技術研究所（NIST）に勤務していた2003年にパスワードの作成および変更にまつわるルールを考案したBill Burr氏。同氏がまとめた手順書「NIST Special Publication 800-63. Appendix A.」はNISTを通じて世界中で使われるようになったが、それらのルールは結果的に間違いであり、ユーザーが真に利用すべきなのは長く覚えやすいパスワードであり、変更するのは90日ごとではなくパスワードが流出した場合のみだったというもの。このNISTルールはすでに改訂され、現在では定期変更および利用文字についての記述は削除されているが、10～15年にわたって正しいとされてきた常識の誤りが世界中に行き渡るには途方もない時間がかかるとみられ、Bill Burr氏自身は深く後悔しているだそうだ。NISTの標準化手順を信頼して利用することの多い日本にとっても対岸の火事とはいえず、広く認知されるべき問題であることは間違いない。

• あのパスワード規則、実は失敗作だった（WSJ）
  http://jp.wsj.com/articles/SB12199000528276883842504583318883522596550