マイクロソフトは、ユーザーにパスワードを定期的にリセットさせることはセキュリティに悪影響を与えるため、Windows のパスワード有効期限ポリシーを廃止することを最終的に決定しました。
レドモンドからは、水曜日にWindows 10バージョン1903のセキュリティ構成ベースライン設定のドラフトリリースを通じて情報が届きました。スプレッドシート、構成ファイル、その他のドキュメントの圧縮ダウンロードとして入手できるこのリリースには、以前のバージョンのWindows 10およびWindows Server 2019の基本的なセキュリティ設定に対するさまざまな変更が含まれています。
草案の変更点には、システムがロックされているときにユーザーが音声入力でアプリケーションを操作できないようにする「アプリのプライバシー」設定の追加といった調整が含まれています。また、マイクロソフトは特定のBitLockerドライブ暗号化方式と暗号強度設定を廃止します。これらの設定では256ビット暗号化が必要でしたが、今後はデフォルトで128ビットになります。これは、「当社の暗号専門家によると、近い将来に解読される危険性は知られていない」ためです。
最後に、パスワードの意味
しかし、Windows における最も歓迎すべき変更は、ほぼすべての人にとって煩わしい定期的なパスワードリセットの廃止でしょう。この変更を説明するにあたり、Microsoft はパスワード有効期限ポリシーの有効性に疑問を投げかける最近の調査結果を引用しています。
クラウド&ビットビジネスとは、ノースカロライナ大学チャペルヒル校の研究者による2010年の研究を指しているのかもしれない。その研究では、新しいパスワードは古いパスワードに基づく傾向があるため、パスワードの有効期限ポリシーによってセキュリティが弱まることが示された。
この研究では、人間が選択したパスワードは一般的に、総当たり攻撃によるクラッキング攻撃に耐えるには弱すぎることも実証されました。しかし、これはパスワードの一般的な脆弱性に関する別の問題であり、ハードウェア認証キーによってこの問題が解決され始めたのはごく最近のことです。
キングス・カレッジ・ロンドン、アカウントの「不正利用」を内部メモで捜査、大学はパスワードをリセット
続きを読む
いずれにせよ、Microsoft は、パスワードの有効期限ポリシーがメリットよりもデメリットをもたらすことをようやく認識したのです。
「パスワードの変更を強いられると、既存のパスワードに小さくて予測可能な変更を加えたり、新しいパスワードを忘れたりすることが多すぎる」と、マイクロソフトのサイバーセキュリティ グループの主席コンサルタントであるアーロン・マルゴシス氏は、マイクロソフトのセキュリティ ガイダンス ブログへの投稿で説明している。
マイクロソフトが企業によるパスワード有効期限ポリシーの導入を禁止するわけではありません。Windowsユーザーは、たとえそれが無意味で煩わしいものであったとしても、依然としてパスワード有効期限ポリシーを導入できます。しかし、Windowsのベースラインからパスワード有効期限を削除することで、コンプライアンス監査において、想定されるベースラインからの逸脱が指摘されることはなくなります。
「定期的なパスワードの有効期限は、価値が非常に低い、古くて時代遅れの緩和策であり、私たちのベースラインでは特定の価値を強制する価値はないと考えています」とマルゴシス氏は語った。
「特定の値や有効期限なしを推奨するのではなく、ベースラインから削除することで、組織は当社のガイダンスに矛盾することなく、認識されたニーズに最も適したものを選択できます。」®
