一石投じるMSのパスワードガイダンス - 多文字種や定期変更は不要、でも多要素認証を

管理者向けとされる具体的な対策を見てみると、同ガイダンスでは、7種類のポイントを挙げている。

そのうち「長い最低パスワード文字数」「複数文字種の組み合わせ」「定期的なパスワード変更」に関しては、不適切な設定であり、一部効果を認めつつも、調査結果から思いがけないマイナスの効果があるとし、中止を提言した。

パスワードは長いほど安全として、短い文字数を拒絶するケースがあるが、同ガイダンスで示したパスワードに最低用いなければならない文字数は、「8文字」。それ以上を強制することの不利益を訴えている。

長いパスワードの強制は、覚えやすい安易なパスワードを選んだり、他サービスのパスワードを使い回しや、PCやクラウド上のドキュメントなどへメモを取る可能性などもあると説明。また最低文字数を長く指定したことによって、攻撃者に文字数を予測させるヒントにもなるとしている。

さらにアルファベットの大文字、小文字、記号を組み合わせ、複雑なパスワードを求めることも、多くの人が最初に大文字、最後に記号を使ったり、「s」を似た「$」で置き換えるなど、攻撃者によって傾向が分析され、効果が薄いという。

定期的なパスワードの強制変更も利用者に負担が大きく、変更時に関連するパスワードを選ぶ傾向があると指摘。変更後のあたらしいパスワードにおいて、17％が古いパスワードより推測できたとするノースカロライナ大学の研究結果にも言及。メリットよりデメリットが大きいとした。

（Security NEXT - 2016/06/03 ）ツイート