Microsoft(マイクロソフト)は、ユーザーに定期的に自分のログインパスワードを変更することを要求するWindowsのポリシーを廃止することを提案した。
公式のブログ記事でMicrosoftは、新たなセキュリティ設定のベースラインの草案では、数週間ごと、あるいは数ヶ月ごとにパスワードを変更することをユーザーに強制することをやめたと明かしている。対象となるのは、ネットワークのグループポリシーによってアカウントが制御されているユーザーだ。
Microsoftのセキュリティベースラインのドキュメントの草案には、企業のネットワークに接続しているすべてのユーザーのグループに効力のある推奨ポリシーが記述されている。その中には、特定の機能やサービスを制限することで誤用や悪用を防ぐためのルールや、マルウェアがシステムやネットワークを攻撃するのに利用する可能性のある機能を隔離する際のルールなどが含まれている。
同社によれば、これまでのパスワード変更ポリシーは「古風で時代遅れになった存在価値の低い対策」であり、もはや「意味があるとは考えられない」としている。
以下は、MicrosoftのAaron Margosis氏の見解だ。
定期的にパスワードを期限切れにすることは、パスワード(またはハッシュ)がその有効期間中に盗まれて、不正に使用されるということを想定した状況にだけ有効な防御策です。もしパスワード盗まれていなければ、それを無効にする必要はありません。逆にもしパスワードが盗まれたという証拠があるなら、むしろ直ちに行動すべきであって、有効期限が切れるのを待ってから問題に対処するという手はないでしょう。
仮にパスワードが盗まれた可能性が高いと考えられる場合、その盗まれたパスワードの使用を許可し続けることが許容される期間は何日間でしょうか? Windowsのデフォルトでは42日です。それは、ばかばかしほど長い期間のように思われるのではないでしょうか?まあ、そのとおりです。私たちの現在のベースラインでは60日としています。以前は90日でした。というのも、頻繁な期限切れを強制すると、また別の問題が起こるからです。そして、もしパスワードが盗まれるということがないのであれば、そうした問題が起こるだけで、ほかには何のメリットもないのです。さらに、もしあなたのユーザーが、無防備にも駐車場でアンケートに答え、飴玉と引き換えに自分のパスワードを渡してしまったら、パスワードを期限切れにするというポリシーには、何の意味もなくなってしまいます。
そうしたポリシーをベースラインから除外する方が、別の日数や、期限切れそのものの廃止を推奨するよりも、組織ごとのニーズに合わせてベストな方法を選択できるはずです。しかもガイダンスに違反することもありません。それと同時に、私たちはまた別の保護方法を強く推奨することを、改めて明らかにしなければなりません。それはベースラインとして表現できる類のものではありませんが。
言い換えれば、Microsoftは、定期的にパスワードを変更することよりも、強力で長くユニークなパスワードの使用を重視することにしたのだ。
数週間、または数カ月ごとにパスワードを変更することは、日常的にWindowsを使っているユーザーをイラつかせるだけではない。利益よりもむしろ害をもたらすことになるという指摘もある。元FTC(米国連邦取引委員会)のチーフテクノロジスト、Lorrie Cranor氏は2016年のブログ記事で、ユーザーに頻繁にパスワードの変更を強制すると、パスワードが弱いものになってしまう可能性があると書いている。
「研究者は、すでにユーザーのパスワードを手に入れた攻撃者は、パスワードの変更によってひるむことは考えにくいと指摘しています」と、彼女は述べている。「いったんパスワードを知った攻撃者は、ユーザーが変更した後のパスワードも容易に推測できることが多いのです」。
その後間もなく、連邦政府にサイバーセキュリティの実践およびポリシーについて助言する立場にあるNIST(米国標準技術局)は、それまでの助言を改訂し、定期的なパスワード変更を義務付けるポリシーを削除した。
すでに退官したNISTの元マネージャ、Bill Burr氏は、パスワードを期限切れにすることを推奨するポリシーを2003年に策定した張本人だが、2017年のインタビューでは、そのことを悔やんでいる。そのルールは、「実際にはユーザビリティに悪影響を及ぼしました」というのだ。
画像クレジット:Getty Images
[原文へ]
(翻訳:Fumihiko Shibata)