パスワード無期限のススメ

マイクロソフトからパスワードの無期限化をお勧めされました。

これはセキュリティ界隈で少し前に話題になったパスワード無期限化、というか最初に「定期的に変更しよう」って言った組織である NIST(米国国立標準技術研究所)が「定期的なパスワード変更を求められたユーザーは、辞書にあるような単純なパスワードに変えたり、これまで使っていたパスワードの末尾に数字を足したりしただけの簡単な変更を行う傾向にあり、かえって安全性が低下する場合があるため、パスワードを変更するのはパスワード流出の恐れがある時だけにすべき」って発表したことからの流れかと思います。(マイクロソフトって本社アメリカですからね)

これは「なんだよ!いままでのやり方は間違ってたのか!」とネガティブにとらえるのではなく「もっと高セキュリティな方法を安価に簡単に選択できる世の中に進化した」ととらえた方がよいと思います。

参考:

Microsoft Password Guidance (英文)

あのパスワード規則、実は失敗作だったBLOGOS

「パスワードの定期変更はすべきでない」 米研究機関がセキュリティ対策関連の文書で明言(ねとらぼ)

パスワードの定期的変更に関する徳丸の意見まとめ徳丸浩のtumblr

パスワードの定期変更、強制はダメ? その理由と1つの例外ITmedia,エンタープライズ

驚!パスワードの定期的な変更は間違いだったなんて!情報セキュリティ対策の真実

おススメ通りやってみた

というわけで「推奨事項を表示」をクリックすると、下記画面が表示されます。

※ちなみにこの設定、実際にはまだ定期変更設定状態でも上記画面になります
つまり、このまま保存をすると設定が変更されます。私の環境は下記の画像のようになっていますが、表示されますね。

Office 365 管理センターの推奨事項を「保存」するとこうなります。

これでユーザーは一度パスワードを覚えてしまえば
メールもSharePointもYammerもTeamsも全部同じパスワードでずっとログインすることができるようになりました。
でも簡単に想像できるパスワードに設定しないようにする必要があります。

むつかしい、攻撃者が想定できてもばれないパスワードにすべし!

私が個人的におすすめのパスワードの設定は「自分にしかわからない意味ある日本語をローマ字で設定する」です
「好きなものとその理由」なんて特におすすめです。

  • 会社の偉いひとは「奥さんと愛人の名前」を設定しましょう。愛人が多いほど高セキュリティになります。定期的に変更になるか増えるかもしれませんね。
  • 独身者は「好きなアイドルの名前とその理由」を設定しましょう
  • アニオタは「今期アニメの嫁」を設定しましょう
    • 上記2つは定期的な変更にる可能性が高いですが、NISTも単純な数字を足したりするだけの変更は良くない。と言っているのでセーフです。
  • 真面目な方は「座右の銘」「自分の人生の指針となる名言」を設定しましょう。でも名言は辞書登録される可能性があります。できれば自分で名言を作り出してください。

※パスワードを忘れたときにリセットする方法については、自分でリセットできた方が良いでしょう。どうせ管理者は現在のパスワードなんて(管理者が指定しない限り)どんなパスワードが設定されているかなんてわからないのですから。。
セルフパスワードリセットの設定方法についは別記事にします。

おすすめは銀河英雄伝説でヤン・ウェンリーが設定したパスワード
「健康と美容のために食後に一杯の紅茶。ロシアンティーを一杯。ジャムではなくママレードでもなく蜂蜜で」
これぐらい長いととても良いでしょう。自分の指向も入っているから辞書アタックには有効です。

対比する形で天空の城ラピュタで使われている「バルス」が3文字で非常に低セキュリティだという人もいますが、これは実は高セキュリティです
「生体認証(王家の血)とハードウェアトークン(飛行石)とパスワード(バルス)による多要素認証」なんですね

Office365もスマホを使った多要素認証が可能ですが、それはまた別の機会に紹介します。