目次
パスワードのルールは間違いだった
私の職場でもセキュリティーに配慮してパスワードについて規定があります。
しかし、その規定の大元、アメリカの規格が間違いだったとは。
元ネタのTHE WALL STREET JOURNAL. : WSJ(2017 年 8 月 9 日 10:33 JST)の記事、投稿当初は無料で全文読めたのですが、一定期間すぎると有料記事に変わってしまうのですね。残念。
2003年、アメリカの業界規格設定を手掛ける国立標準技術研究所(NIST)の中間管理職だったビル・バー氏(72)は「NISTスペシャルパブリケーション800-63 別表A」を作成。
8ページのこの文書は、インターネットで使うアカウントを守る方法として、パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていた。
連邦政府機関や大学や大手企業は、パスワード設定の規則を検討する際に「NISTスペシャルパブリケーション800-63 別表A」を頼るようになった。
これに習ってしまった日本。
日本の行政も企業も、業界団体も、もちろん私も頻繁にパスワードを変更したり小文字や数字や大文字、感嘆符や疑問符などの特殊文字を組み合わせていたよね。あちこちの通販サイト等でもパスワードでも組み合わせルールを守るまで先に進めなかったり未だに面倒を強いられています。結局、覚えられなくなって付箋にパスワード書いてデスクマットに入れたり、モニター脇に貼り付けたり意味のない事していた人も多いでしょ!
指が絡まりそうなルールを未だに定めている行政や会社や組織が多数でしょう。
でも間違いだったとの事。
アメリカで改定されても、我が国では何かあったら誰が責任取るんだ!などという意見が闊歩し何年も変えられないのが目に見える・・・
既に退職したビル・バー氏は「今では自分がしたことの多くを悔やんでいる」らしい。もっとその間違いを広報してくれ〜。
例えば、医療情報システムの安全管理に関するガイドライン 第4.3版 平成28年3月 厚生労働省
パスワードは定期的に変更し(最長でも 2 ヶ月以内)、極端に短い文字列を使用しないこと。英数字、記号を混在させた 8 文字以上の文字列が望ましい。
2ヶ月ごとに8文字以上。
何かにメモらないと仕事になりません。
直ぐ見れるところにないと仕事になりません。
忘れたら大変な事になります。
「NISTスペシャルパブリケーション800-63」は今年2017年6月に全面改定
パスワードのルールに関する指令の最悪の部分は捨て去られた。
改定には2年かかった。作業を担当したNISTのポール・グラッシ氏によれば、改定は当初、簡単な編集で終わると考えられていた。
いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない。これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」とポール・グラッシ氏は述べている。
今では、「パスワード」ではなく、スペースも入れられる最低64文字の「英単語の組み合わせによるパスフレーズ」の使用を推奨
そしてNISTによると、
コメント