IDとパスワードは,最も基本的でかつ有効な本人確認の方法である。その安全性を高めるには,パスワード・ポリシーをできるだけ厳しくすべきと考える人がいるが,大きな誤解である。 「英字の大文字/小文字,数字の組み合わせが必要で,最後が数字で終わってはいけない」「パスワードは毎月変更する必要があり,過去5世代のパスワードは再利用できない」といったポリシーを設定している例を耳にする。こうした複雑なポリシーを設定すると,パスワードが漏えいするリスクよりも,付せん紙にメモされてしまうリスクの方が高くなりやすい。 パスワード認証を用いる場合に考慮・検討すべき機能項目を表にまとめた。注意が必要なのは,どの項目もやみくもに厳しくしてはいけないということである。ポイントは大きく二つある。(1)利用を強制する文字種類の数を安易に増やしてはいけないことと,(2)パスワードの定期変更を安易に迫っていけないことだ。
![[セキュリティ編]パスワード・ポリシーを厳しくしすぎてはいけない](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)