頻繁にパスワード変更を求める方針をMicrosoftが撤回するとメディアが伝えている。Techradarによると、Microsoftは「定期的なパスワード変更を必要とするパスワードの有効期限ポリシー」の推奨をやめるそうだ。
頻繁にパスワードの変更を求めると、今までのものをちょっと変えるだけで対応したり、新しいパスワードを忘れたりする人が出てくる。確かに、password12、password23、password34と変えていけば類推されやすいし、新しいパスワードを紙に書いてデバイスの枠に張り付けるのでは意味がない。覚えられないので使いまわしをする人も出てくる。
総務省の「国民のための情報セキュリティサイト」に次のように書かれている。
これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。
しかし、定期的な変更はまだ続いている。クレジットカードサイトをログインした際に変更を求められたので、苦情メールを管理者に送ったが「なしのつぶて」だった。定期的な変更が安全性を高めるというのは迷信に過ぎない。推測しにくい安全性の高いパスワードを継続使用するほうがましだ。
他にも迷信がある。メールに暗号化した文書(zipファイル)を添付し、次のメールで暗号を解くパスワードを知らせる方法である。二番目の自動送信メールには次のように書いてある。
最初のメールを誤送信すると、パスワードも誤送信先に自動送信される。これでは情報を秘匿したことにならない。NISCの『小さな中小企業とNPO向け情報セキュリティハンドブック』にも同じ注意がある。
別送信であっても、暗号化ファイルと「暗号キー」を同じメールアドレスに送れば、メールが一気に流出すると2つが揃ってしまいます。
そもそもコンピュータウイルスの多くは、メールにファイルを添付して送られてくる。取引先や友人を偽って送信されてくるかもしれない。添付ファイルを開くのは危険な行為なのである。
ファイルを送信したいのであればオンラインストレージなどの代替策を使うのがよい。
これらの迷信がはびこるのは、ITベンダーの「なんちゃって」セキュリティ対策に発注側が気づかないからだ。ITベンダーも発注側もITリテラシーが低い。そろそろ迷信から覚めようではないか。