「パスワードの定期変更はすべきでない」 米研究機関がセキュリティ対策関連の文書で明言

アメリカの科学研究機関NIST（米国国立標準技術研究所）のコンピューターセキュリティ担当部門、CSD（Computer Security Division）が発行した文書「800-63B」が注目を集めています。デジタル認証のガイドラインとして書かれたもので、パスワードに関する項目に、「パスワードの定期変更はすべきでない」と明記。セキュリティの常識を変える可能性があります。 CSDの文書 焦点となった文言は、「5.1.1.2. Memorized Secret Verifiers」に記載。「ユーザーが攻撃を受けたとの証拠の下に変更を要求した場合を除き、認証側は定期的にパスワードの変更を求めるべきではない」と述べられています。パスワードの定期変更を促すWebサービスは多いですが、ユーザーが前のパスワードに数字を加えるなど、予測しやすい変更を行ってしまいがちなのも事実。そういった観点からの記述と

[ockeghem]

タイトルがおかしい。自主的に定期的変更するのは問題ない。定期的変更を強制すべきではない、ということ

[y-kawaz]

『定期変更すべきでない』ではなく『定期変更を強制すべきでない』だろ。自分で責任持って変更するのは何も問題はない。問題なのはユーザに強制することだ。無用な強制をされるとユーザはは弱いパスワードに流れる。

[Cujo]

"SHOULD NOT require"『求める*べきではない*』本文中ではきちんと訳出できてるのに。。。。。。。何故抜け落ちた？

[deep_one]

タイトルは間違い。「ユーザーにパスワードの定期変更を求めるのは能力のない運営の甘え」ぐらいが正解。ユーザーが自主的に変えるのは勝手であるし、能力のない運営を信用しないなら変えるべき（笑）

[cubed-l]

あまり堅苦しくないニュースサイトに載るのは良いねぇ

[Qwerty401]

NISTのコンピューターセキュリティ担当部門、CSDのデジタル認証のガイドライン関連文書、PWに関する項目に「パスワードの定期変更はすべきでない」「秘密の質問もよくない」と明記

[munenaga]

「パスワードの定期変更はすべきでない」　米研究機関がセキュリティ対策関連の文書で明言

[ooo_root123]

「パスワードの定期変更はすべきでない」　米研究機関がセキュリティ対策関連の文書で明言 2013年ごろから言われてた気がする件()