これは何?
パスワードの変更は良くないよと言っている公式ドキュメントを集めました。
万が一,所属する組織がパスワードの変更を強制してきた際にはこの記事に貼ってあるドキュメントを盾に抵抗しましょう笑
※パスワードのローテーションにも良い面がないわけではないです。
パスワードの定期的な変更を推奨しないガイドライン
-
1.8 パスワードの定期変更は基本は必要なし。ただし流出時は速やかに変更する
利用するサービスによっては、パスワードを定期的に変更すること求められることがあります。しかし、前出のように十分に複雑で使い回しのないパスワードを設定した上で、実際にパスワードを破られアカウントを乗っ取られたり、サービス側から流出したりした事実がないのならば、基本的にパスワードを変更する必要はありません。 むしろ、パスワードの基準を定めず、定期的な変更のみを要求することで、パスワードが単純化したり、ワンパターン化したり、サービス間で使い回しするようになることの方が問題となります。 一方、アカウントが乗っ取られたり、流出の事実を知った場合は速やかにパスワードを変更し,その原因も特定しましょう。
-
NIST Special Publication 800-63B
5.1.1.2 Memorized Secret Verifiers
Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.
パスワードの定期的な変更を推奨しているガイドライン
-
Defined Approach Requirements
8.3.9 If passwords/passphrases are used as the only authentication factor for user access (i.e., in any single-factor authentication implementation)
then either:
• Passwords/passphrases are changed at least once every 90 days,
OR
• The security posture of accounts is dynamically analyzed, and real-time access to resources is automatically determined accordingly90日に1回の変更もしくは,アカウントのセキュリティ状態が動的に分析され、それに応じてリソースへのリアルタイムのアクセスの可否が決定される仕組みを持つのどちらかが必要になります。