1 :2019/04/26(金) 14:26:33.25 ID:xrCkGepZ9.net
「パスワードの定期的変更は、古びた時代遅れの極めて価値の低い対策」、Microsoftが次期大型アップデートでポリシー変更
Microsoftは4月24日(現地時間)、間もなくリリースされるWindows 10の次期大型アップデート「Windows 10バージョン1903」(19H1)と「Windows Serverバージョン1903」について、セキュリティベースライン設定のドラフト版を公開した。
今回のドラフトでは、「パスワードの定期的な変更を促していたポリシー」の廃止が盛り込まれたことが注目されている。Microsoftはこれについて、「パスワードセキュリティの現状に問題があることは疑いようがない」と認めている。
Microsoft Security Guidance blog
ユーザーが自分でパスワードを作成する場合、安易なパスワードを選びがちな傾向があるという。覚えにくいパスワードの作成を強要されたり、割り当てられたりすれば、目に見える場所に書きとめておく。パスワードの定期的な変更を強要されれば、既存のパスワードに予想可能な変更を少しだけ加えて済ませがちで、新しいパスワードを忘れてしまうこともある。パスワードや関連するハッシュが流出すれば、その不正利用の検出や制限は難しい。
そうした現状を認めた上でMicrosoftでは、「パスワードの定期的な変更を促すといったポリシーは、科学的な調査で疑問が投げ掛けられている。禁止パスワードリストの強制や多要素認証といった代替策が推奨されている」と指摘する。
パスワードの定期的な変更は、パスワードやハッシュが有効期限中に盗まれて、不正利用される事態のみを想定した対策だった。しかし「パスワードの定期的な失効は、古びた時代遅れの極めて価値の低い対策であり、ベースラインとして徹底させる価値はない」とMicrosoftは断言。管理者に対しては追加的な対策を講じるよう強く勧告している。
https://www.itmedia.co.jp/news/articles/1904/26/news082.html
2019年04月26日 11時30分 ITmedia NEWS