パスワードを変更する頻度
私はパスワードマネージャーを使用しており、すべてのパスワードを最適化して、複雑で、長く、ユニークなものにしています。
パスワードを随時変更する必要があるかどうか、また変更できる場合はどのくらいの頻度でガイドラインがあるかと思います。
新しいNISTガイドライン(米国国立標準技術研究所)では、パスワード管理のいくつかの領域に関するガイダンスがかなり意外に逆転しています。これによると ソフォスのNaked Securityブログの記事 によると、自動または定期的なパスワードエージングは新しいガイドラインでは推奨されなくなりました。むしろ、記事は言う:
パスワードをリセットする必要があるのは、パスワードが忘れられたとき、フィッシングされたとき、またはパスワードデータベースが盗まれてオフラインのブルートフォース攻撃を受ける可能性があると思ったとき(または知っているとき)だけです。
スケジュールに従ってパスワードを変更する他の唯一の理由は、PCI DSSパスワードに関する要件など、変更に耐性のある古いポリシーに準拠することです。
8.2.4ユーザーのパスワード/パスフレーズを少なくとも90日ごとに変更します。
これはセキュリティの問題ではなく、コンプライアンスの問題です。本質的に法的効力を持つ規制に直面した場合、残念ながらコンプライアンスはセキュリティよりも優先されます。
NIST Special Publication 800-63b:Digital Authentication Guidelines
検証者は、記憶された秘密を任意に(たとえば定期的に)変更することを要求してはなりません(SHOULD NOT)。しかしながら、認証者の妥協の証拠があるならば、検証者は変更を強制するべきです(SHALL)。
NCSCは現在、組織が通常のパスワードの有効期限を強制しないことを推奨しています。これにより、定期的に期限切れになるパスワード(上記を参照)に関連する脆弱性が減り、長期的なパスワードの悪用のリスクがほとんど増加しないと考えています。
問題は、パスワードを長期間保持することではなく、新しいパスワードを作成するときに導入される弱点です。したがって、ランダムなパスワード生成方法を使用している場合は、定期的にパスワードを更新することでできます。
ただし、リスクが非常に低いため、最大限に複雑なパスワードを作成する頻度についての公式のガイドラインはありません。 2FAを追加すると、リスクはさらに低くなります。
次に必要なガイドラインは、特定したリスクに基づいています。認証しているサービスがパスワードをプレーンテキストで保存し、頻繁にハッキングされ、重要なデータを保存していると思われる場合は、公式ガイダンスの内容に関係なく、パスワードを頻繁に変更することをお勧めします。