マイクロソフトのNetwork & AD サポートチームブログに「パスワードに関するガイダンス」が掲載されました
これは米国MicrosoftのActive Directory Team Blog記事を要約して翻訳した記事になります。
とても参考になります。
https://blogs.technet.microsoft.com/jpntsblog/2016/05/27/%E3%83%9E%E3%82%A4%E3%82%AF%E3%83%AD%E3%82%BD%E3%83%95%E3%83%88%E3%81%AE%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E3%82%AC%E3%82%A4%E3%83%80%E3%83%B3%E3%82%B9/
マイクロソフトのパスワードに関するガイダンス | Ask the Network & AD Support Team
http://research.microsoft.com/pubs/265143/Microsoft_Password_Guidance.pdf
Microsoft Password Guidance
以下はブログ記事のガイダンスのタイトル部分だけです。
詳しくは上記のマイクロソフトのブログを読んでください。
1. 8 文字の最低パスワード長を維持する (必ずしも長いほど良いというわけではない)
2. 文字の組み合わせ (複雑さ) に関する要件を廃止する
3. ユーザーアカウントの定期的なパスワード変更を強制しないようにする
4. わかりやすい一般的なパスワード使うことを禁止する
5. 業務アカウントのパスワードを社外他のアカウントに使いまわさないようユーザーを教育する
6. 多要素認証を必ず利用するようにする
7. リスクベース多要素認証の方法を検討する
「最低パスワード長は8文字」や「複雑さの要件を廃止する」は斬新でした。
最低パスワード長を長くし過ぎると、単純な単語の繰り返しになってしまいがち。
複雑さの要件が有効だと、先頭を大文字にしたり最後を数字にしたりになりやすい。
このような傾向を利用してパスワードの解読を試みられるそうです。
「定期的な変更を強制しない」はやっぱりね、です。
私がとあるシステムで使用しているパスワードは、絶対に推測されない文字列を使用しています。
当然ですが、誰にも知らせていません。
それなのに、このパスワードを定期的に「変更しなさい」と強制されるのは苦痛以外の何物でもありません。
また、定期的に変更すると、どうしてもパスワードが安易な文字列になりがちです。
定期的な変更の強制は、本当にやめてほしい。
「パスワードを使いまわさない」は重要です。
万が一パスワードが解読されてしまったら、他のシステムにもログインされてしまうので。
多要素認証はインターネットを利用したコンシューマー向けシステムではぜひ利用して欲しいですね。
オンプレミスな社内システムでは、今後は多要素認証を取り入れる方向に向かうかどうか、わかりませんが。