パスワードポリシーに何やら新しい動きがありそうです。
米国立標準技術研究所(NIST)が、
パスワードポリシーに関するガイドライン「NIST Special Publication 800-63B-4」について、
第2版公開草案を発表したというニュースが入ってきました。
↓
(https://www.infosecurity-magazine.com/news/nist-scraps-passwords-mandatory/)
英語の記事ですけど(笑)
翻訳してみたところ、
この草案では、定期的なパスワードの変更や異なる文字タイプの混在(例えば数字、特殊文字、大文字小文字を組み合わせる)を義務付けるべきではないと言っているようです。
あとは、パスワードは最低でも15文字であるべき、とか。
定期的な変更は推奨しないという流れは以前からありましたが、
複雑性よりも長さ重視ってことなのか。
これはまたパスワードの常識を変えることになるのか・・・!?
ちなみに、日本でのパスワードポリシーは、
総務省「国民のためのサイバーセキュリティサイト」に記載されているものが一番有名かなと思いますが、ここでもNISTのパスワードポリシーを参考にしているんですよね。
↓
(https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/security/business/staff/06/)
世の中で様々なセキュリティ事故が日々発生していることから、こういう基準もどんどん変わっていきます。
そもそもパスワード認証から、多要素認証(MFA)や生体認証への移行も進んでいますし。
こういうニュースは、いちユーザとしても気になりますが、企業のセキュリティ事務局やサービスの提供事業者は要チェックですね!