パスワード定期変更
パスワードの安全性をあげるために必要とされていたが、もはや旧習となっており、非推奨
由来
2003年の米国立標準技術研究所(NIST)が発行したSP800-63
定期変更すべきとした
2004年12月のPCI DSS
3ヶ月ごとに変更すべきとした
非推奨とする根拠
2017年版のSP800-63-3
定期変更するべきでない、とされた
https://openid-foundation-japan.github.io/800-63-3-final/sp800-63b.ja.html#-5112-記憶シークレットverifier
記憶シークレットを任意で(例えば,定期的に)変更するよう要求すべきではない(SHOULD NOT).しかしながらAuthenticatorが危殆化した証拠がある場合は,変更を強制するものとする(SHALL).
「パスワードの定期変更は正しくない」――考案者が自ら過去の過ちを認める発言
2018年3月 総務省
2018年4月 Microsoft