米セキュリティ指針で「パスワードの定期変更」「秘密の質問」が否定される 11
ストーリー by hylom
最初に言い出したのは誰だ 部門より
最初に言い出したのは誰だ 部門より
あるAnonymous Coward 曰く、
NIST(米国国立標準技術研究所)の傘下部門であるCSD(Computer Security Division)は先週末、米国の政府機関がセキュリティ対策を実施する際の指針となるSpecial Publicationのドラフト版を公開したが、その中で「パスワードの定期変更」「秘密の質問」を明確に否定したことが注目を集めている(Special Publicationドラフト版、INTERNET Watch)。
この文書では、パスワードの定期変更を強いるとユーザーは「Password1」といった具体に末尾に数字を追加するなど意味のない対応を取ることが多いことから、システムはパスワードの定期的な変更をユーザーに要求すべきではないとしている。また合わせて秘密の質問も使用するべきではないとしているとのこと。
これらはいずれも以前から指摘されていた点ではあるが、政府機関が指針に記述したということで、現状はまだドラフト版ではあるものの、今後の認証システムの開発に大きな影響を与えることが予想される。
いいね (スコア:0)
この流れを広めるんだ
秘密の質問 (スコア:0)
あれは本当に意味が分からない。
何のために存在するのか。
Re: (スコア:0)
管理者が見てはぁはぁするため
Re: (スコア:0)
業界大手が俺達すげーと思い込んで、金融機関に売り込みかけて、担当者もセールストーク鵜呑みにした結果があれ。
Re: (スコア:0)
大手かどうかに関わらず、セキュリティを考えてる人が、大穴を空けることになると気付かないわけはない手法ですからね。
Re: (スコア:0)
パスワード忘れたって問い合わせを少しでも減らしたいヘルプデスクのためだろ。
彼らにしてみりゃ全体のセキュリティレベルなんてどうだっていいんだから。
定期変更 (スコア:0)
意味のない対応をするから要求するべきではないって結論はなぁ…
Re: (スコア:0)
数百と管理するパスワードの定期変更とか不可能です
変更を強制されるシステムでも
実際のユーザは嫌気がさして強度が下がってたり……
Re: (スコア:0)
定期変更のメリットってなに?
Re:定期変更 (スコア:1)
>定期変更のメリットってなに?
運営サイドがセキュリティに気を配ってますよというポーズを示すため。
Re: (スコア:0)
現実には危険な対応をとりがちで、リスクを減らすどころかリスクを高めてるのが現実だから、止めろって話。
(勧告の内容は「止めたほうがいい」ではなく「止めろ」だからね。)