Microsoftは、現代における大きな悩みの種の1つ、パスワードのリセットに関するルールについて、ナンセンスだと認めた。
提供:Facebook
MicrosoftのAaron Margosis氏は、米国時間4月24日付のブログ記事で、「人は覚えにくいパスワードを割り当てられたり作成するよう強いられたりすると、他人から見える場所にパスワードを書き留めることが多い」と述べている。また、パスワードの変更を求められると、忘れないように「既存のパスワードに予測可能な小さい変更」を加えることが多いという。
セキュリティの専門家や普通の考え方をする人々は何年も、強制的なパスワードの変更は割に合わないと不満を述べてきた。米連邦取引委員会(FTC)は3年前、こうした慣行を見直すべき時だとして、ブログで「会社にとってのリスクや利益とともに、セキュリティを高める別の方法を評価することが重要だ」と述べていた。また、米国立標準技術研究所(NIST)は、10年前にこの慣行を批判している。
Microsoftは24日のブログで、「Windows 10」バージョン1903(“19H1”)と「Windows Server」バージョン1903の「基準」となるセキュリティ設定の草案を公開した。この草案では、パスワードの有効期限に関するポリシーが廃止されている。
Microsoftは、よくある不適切なパスワードを徐々に禁止し、従業員に多要素認証を利用させるよう企業に勧めている。
「パスワードを定期的にリセットするのは、昔からある時代遅れの緩和策で、非常に有用性が低い」(Margosis氏)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
