自動ニュース作成G
「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ
http://internet.watch.impress.co.jp/docs/yajiuma/1007177.html
2016-06-27 20:41:00
日本では、まだか。
・記事中でも触れられてるが質問固定の「秘密の質問」も一刻も早く絶滅して欲しい
・逆にリスクになるの?ちと分からん
・定期的に変更が求められると、パスワードが短く簡単なものになりがちなので、逆にパスワードを破られる可能性が高くなる。あとは3回ミスると、アカウントがロックされる系も、パスワードが安易になる理由として賛否がある。
・労の割にユーザー側、またパスワード自体のセキュリティ向上に殆ど繋がらない事は普通の考慮内。また#3に言う様に平易化するし、複数の真面目な長文パスは覚えるのが辛いから書き留められてソシャルハックされやすくなる。ブルートフォース対策にしたって文字数増やすのはまだしも、サーバー側の対策堅牢にした方が安全性の向上が大きい。と思うのは素人考え?
・クレジットカードサイトのセキュリティ標準であるPCIDSSでは、少なくとも90日ごとにパスワード変更が求められてる。http://itpro.nikkeibp.co.jp/article/OPINION/20080220/294287/