漏洩している形跡がなければパスワードの変更は不要

終わりなきパスワードとの闘い、「定期的な変更は不要」という新常識 | 日経クロステック(xTECH) (nikkei.com)

良記事。

一部、引用しておく。

 1つのサービス内であっても定期的なパスワードの変更を求められることも多い。だが、これについては現時点で既に、複雑なパスワードを利用していれば定期的に変更しなくてもよいとする指針が整備されている。米国の国立標準技術研究所(NIST)が2020年3月に発行した認証に関するガイドラインでは、パスワードの定期変更について「定期的に変更するよう要求すべきではない」としている。

 さらにこのガイドラインの改訂版のドラフトが、2022年12月に公開された。改訂版では「ユーザーの要求や認証システムへのマルウエアなどが侵入した証拠がない限り、パスワードの定期的な変更を要求しないこと」としている。以前のガイドラインで「要求すべきではない」としていたパスワードの定期変更が、改訂版ドラフトでは「要求しない」に強まった。

https://xtech.nikkei.com/atcl/nxt/column/18/00138/091101366/

いわれてみれば、そりゃそうだ。って話。定期的な変更を強要することで、使い回しのリスクは高まる、その通り。

セキュリティ周りの常識は常に変化することを頭にいれておくこと。