ひと月前になりますが、”Windows 10 バージョン1903 および Windows Server バージョン1903のセキュリティベースライン(ドラフト) " が公開されました。
間もなく配信が予定されている、Ver.1903 ( Windows 10 May 2019 Update) 用のものですが、この中で、”Dropping the password expiration policies”(パスワードの有効期限ポリシーを削除します)とあり、従来であれば、パスワードは定期的に変更することを推奨されておりましたが、今回これが変更されたことになります。
このブログの中、"Periodic password expiration is a defense only against the probability that a password (or hash) will be stolen during its validity interval and will be used by an unauthorized entity. If a password is never stolen, there’s no need to expire it."(ブログより引用)
とあり、簡単に言うと、
"定期的なパスワードの有効期限切れは、パスワード(またはハッシュ)がその有効期間中に盗まれて、さらに権限のないエンティティによって使用されるという可能性に対する防御にすぎません。パスワードが盗まれることがないのであれば、期限切れにする必要はありません。"
ということでした。
パスワードの漏洩や盗難にあうなどの具体的な事案がなければ特別定期的に変更しなくていいよ?ということ。たしかに、パスワードっていろいろありますので、そして常に定期的に変更することが推奨されていたわけで、私も銀行のパスワードなどかなりの頻度で変更してました。
パスワードがありすぎてわからない...まぁ、そんな事態になって、パスワードを管理するソフトを導入したりしてます。
最近では生体認証や、PINコードを利用したりとパスワード以外のものを使用するケースも多々あり、逆にいざパスワードが必要となったときに、パスワードを覚えていない?という事態にもなったりするので、このパスワードって難しいところですね。
今回のこのポリシーの変更。総務省のWebサイトの、"安全なパスワード管理" の中でも触れられていますが、"2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示された"(”安全なパスワードの管理”より引用)とありますが、そうしたことも背景になっているんでしょうね。
みなさんは、パスワードは定期的に変更されてたりしますか??
【更新】
5月23日(日本時間5月24日)付で、"Windows 10 バージョン1903 および Windows Server バージョン1903のセキュリティベースライン(最終版)" が公開されておりました。
<参照>