ITmediaの記事によれば、
--
「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所(NIST)が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。 --
理由を以下のように書いている。
--
例えば、無数のパスワードを覚えられないため、単純な単語やフレーズに増加する数字を付け加えるだけといった悪い決定をし始める。「password1」「password2」「password12」というように。 --
楽天の一部アカウントはパスワードを強制変更させる。
2週間ごとだったか3週間ごとに、ログインするとパスワードを変更しろとなって、パスワードを変更しないとその先に進めない。
仕方がないのでパスワードを変更し、そのサイトを使う人に変更したパスワードを伝える。
この時点でセキュリティも何もあったものではないのだが、面倒なのでパスワードに数字を付けることにする。
こうすれば前回は10だったから次は11だなと、わざわざ伝えなくても分かるからだ。
楽天の営業も「皆さん数字や日付を付けています」と言っていた。
楽天としては、定期的なパスワード変更をさせているからウチにセキュリティの瑕疵はないとでも言いたいのだろう。
一般楽天会員向けには、以下のアナウンスをしている。
--
会員様専用オンラインサービス「楽天e-NAVI」に二重でパスワードをかけることのできるサービスです。
通常、楽天e-NAVIはユーザID・パスワードでログインをすることができますが、第2パスワードの設定により、さらに強固に楽天e-NAVIを守ることができます --
二重にしようが三重にしようが同じ事なんだな、これは。
単にパスワードを長くしているのと変わらない。
楽天IDのセキュリティの弱さは、楽天モバイル系でも度々言われている。
しかし楽天は改善の姿勢を見せていない。
コメント