パスワード変更ポリシー

いろいろな世界に流行りがあります。
セキュリティの分野にも流行があります。

流行りの一つに、パスワード変更ポリシーがあります。
かつて、いろいろな組織でコンピュータセキュリティ向上のためのガイドラインが制定されました。
そのなかでよく採用された要件の1つが、パスワード変更ポリシーでした。
こういったものです。

• XXX期間毎にパスワードを変更しなければならない

このルール自体はどちらかというとよいものと思えます。
しかし、パスワード変更の頻度があまりに短い、あまりに多くのシステムでパスワード変更を強制される、などのいくつかの不便さが同時に各個人にのしかかってきます。
本来は1つのパスワードを強くしようとした場合、どのようにそれを構成すればよいかは、みなさんおよそご存じだと思います。
メンテナンスすべきパスワードが1つだけなら、もしかしたら、正しい運用をできるのかもしれません。
でも、パスワードはたくさんあります。
いくつものパスワードを変更の必要があるときに、毎回必要十分にこれまでのものとは異なるものに変えていく、ということは、容易なことではありません。

結果、従来使用していたパスワードの末尾につけた数字を少し変更するだけ、というようなパスワード変更を行う人が多数出てくることとなりました。
これでは、せっかくパスワード変更ポリシーを大きな負担を伴って実施していても、安全は手に入りません。
古いパスワードを入手出来れば、新しいパスワードの推測が容易だからです。

新しい流行りが生まれてきています。
パスワードを強制的に一定期間毎に変更することをやめる組織が出てきています。
マイクロソフトも、パスワード有効期限ポリシーの削除を2019年に発表しています。

何でもそうだと思いますが、ポリシーは使い方次第かもしれません。
いろいろな運用規約があると思います。
そういったものを棚卸し、見つめなおしてみることも、ときには必要かもしれません。

参考記事（外部リンク）：Why Password Change Requirements are Bad – GateKeeper
Proximity Passwordless 2FA
www.infosecurityfactory.nl/security-awareness/why-password-change-requirements-are-bad-gatekeeper-proximity-passwordless-2fa/