ユーザーが実践できているかどうかは別として、サイバー攻撃で悪用されにくいパスワードを作成・運用するためのベストプラクティスはいくつもある。そのひとつに「パスワードを定期的に変更する」がある。IT部門が存在する企業では、ユーザーに定期的なパスワードの変更を強要しているケースも少なくない。しかし、このベストプラクティスはしばらくすると候補から外れるかもしれない。

The Hacker Newsは5月10日(米国時間)、「Is it still a good idea to require users to change their passwords?」において、企業はおそらく初めて、パスワードの定期的な変更を要求することがよいアイデアであるかを検討する必要に迫られていると伝えた。なぜなら最近、Microsoftが同社のパスワードに関するベストプラクティスを変更したためだ。同社の最新のパスワードに関するベストプラクティスは次のページにまとまっている。

Password policy recommendations - Microsoft 365 admin | Microsoft Docs

Microsoftは、パスワードに有効期限を設けて定期的にユーザーにパスワードの変更を促すと、ユーザーはお互いに関連する連続した単語や数字で構成されたパスワードを利用する傾向が出てくるが、そうしたパスワードは推測されやすく、有益さよりも害のほうが目立ってくると指摘している。しかも、サイバー犯罪者はパスワードを入手したら即座に利用するため、有効期限を設定しておいてもデータ窃取の防止にはなりにくいと指摘している。

例えば、定期的にパスワードの変更を迫られると、ユーザーは同じパスワードの最後にその月を意味する数字や単語をつけたり、同じ文字を追加したりするだけといった、簡単な方法で新しいパスワードを作る傾向がある。または、更新した年月日をそのままパスワードのベースとするなど、忘れにくく推測されやすいパスワードを使う傾向があることが知られている。

Microsoftは、パスワードに関するベストプラクティスは人間の自然な行動という観点から見ると、その多くが失敗すると説明。こうしたベストプラクティスの多くがパスワードの質を低下することがわかっていると説明している。今後は人間の本質を理解し、本当に効果的なプラクティスを実施していく必要があるといった説明を行っている。

パスワードを巡るベストプラクティスは時おり変わることがある。特に、当初予定されていたような使い方がされずに、結局逆の効果を生むといった指摘は少なくない。今回、Microsoftが同社のベストプラクティスを変更したことは、ほかの多くの企業に影響を与える可能性があり、今後の動向が注目される。