Microsoft公式ブログ
今年4月、Microsoftは、Windows10の次期更新となるMay 2019 UpdateおよびWindows Serverバージョン1903におけるセキュリティベースラインを公開しました。特に大きな変更となるのは、「パスワードに有効期限を設ける」といった、これまでの方針を廃止することです。
これまでは、なりすまし被害などを防ぐために、パスワードの定期的な変更が推奨されていました。定期的に更新することによって、悪意ある第三者にパスワードが盗まれてしまっても、一定期間で使用できなくなるため、被害軽減策となると考えられていたためです。しかし、パスワードが盗まれていない状況で頻繁にパスワードを変更すると、パスワードがパターン化し推測されやすくなったり、メモに書き留めたりすることなどから、かえってセキュリティリスクとなることが指摘されるようになりました。
2018年3月には、総務省が国民のための情報セキュリティサイトにおいてパスワードの定期変更は必要ないとの見解を提示。Microsoftとしても、「禁止パスワードリスト」の導入や「2段階認証」などといった代替手段を推奨しています。ネット社会の発展に応じて情報セキュリティ対策も変わっていきますので、関連情報は常に意識して把握しておきたいですね。
【MSも「パスワード定期変更は不要」表明―Win 10の次期セキュリティ基準で】
https://japanese.engadget.com/2019/04/25/ms-win-10/
