米国当局「パスワードの定期変更を求めるべきではない」

オンラインバンクを始め、定期的なパス変更を求めてくるサービスは山ほどありますが、このほどアメリカ国立標準技術研究所の傘下機関が「パスワード変更は必要無い」という報告書をまとめました。

NIST（米国国立標準技術研究所）の傘下部門であるCSD（Computer Security Division）が発行する文書のひとつ、Special Publicationは、米国の政府機関がセキュリティ対策を実施する際の指針になる文書として、世界中で一目を置かれる存在だ
　→　【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ - INTERNET Watch

NISTというと、昔時刻あわせのタイムサーバーがNISTドメインだったのが個人的には馴染み深いですね。

背景にはユーザー側がそんな頻繁なパスワード変更に真面目に付き合いきれないという話があります。

　→　identifiable.info - 強制的なパスワードの変更を再考する

まぁ、ランダムな8、9文字の文字列なんぞ憶えてられないですから、近くにメモったり、既存パスの一部をちょっといじるだけだったりするのが関の山です。

それなら最近のGoogleの二段階認証のように、ハッキング対象を増やしたりする方が効果的ということのようです。