パスワードの定期変更につきましては、近年NIST SP800-63Bや総務省からの文章などで
「定期的なパスワード変更を強制すべきではない(推奨)」となっていることは
弊社も認識しております。
弊社でもこれらの内容を踏まえて仕様の変更などについて議論を行っておりますが、
定期変更をなくすことによるリスクについてお客様のシステムを守る立場として、
以下にあげられるような懸念を持っております。
1.パスワードが本人が気づかないうちに漏洩していた場合に
定期変更によるパスワード保護が働かない。
2.パスワードが漏洩していないこと把握するよりは定期変更を行う方が
お客様にとっての負荷が低い。
NISTなどで定期的なパスワード変更を強制すべきではない理由としては、
強制した場合に安易なパスワードへの変更を助長する
ということが挙げられています。
(パスワードの作り方がパターン化してしまい簡単なものになることや、
使い回しをしてしまう など)
定期変更を無くすリスクと定期変更を行うリスクを
比べたうえで、現時点ではパスワードの定期変更を
行うことのほうがリスクが低いと判断をして、
サービスを提供させていただいております。