パスワードを定期的に変更するべきじゃない理由とは?
銀行やクレジットカード会社のマイページなどでは、定期的にパスワードの変更を求められます。
「いちいち煩わしいな」と思ったことはないでしょうか?
実は、最先端のセキュリティの現場では、パスワードを定期的に変更するというのはNGだということがすでに定説になっています。
定期的な変更をすることでパスワードの作り方がパターン化し推測しやすいものになることや、数個のパスワードを何度も使い回しすることの方が危険だということです。
他にも、アメリカ国立標準技術研究所元所長のビル・バー氏によると「パスワードには大文字・小文字・半角数字を混ぜて」というのはあまり意味がないとウォールストリートジャーナルの取材に対して答えています。
総務省の「国民のための情報セキュリティサイト」では、2018年3月1日になってようやく、「定期的にパスワードを変更しましょう」という文言が削除され「パスワードを複数のサービスで使い回さない(定期的な変更は不要)」と書き改められています。
また、内閣サイバーセキュリティセンター(NISC)が発行している「ネットワークビギナーのための情報セキュリティハンドブック」にも同じことが書かれています。
ネットワークビギナーのための情報セキュリティハンドブック(PDF版)
つまり、銀行サイトが定期的に「パスワードを変更してください」と要求していたのは間違いだというわけです。
そして「同じパスワードを複数のサービスで使い回さない」ということの方が重要だということです。
推奨されるパスワードは、英大文字小文字+数字+記号で 10 桁以上とされています。
ちなみに、10桁の組み合わせ数は、数字のみの場合は100 億通り、英大文字小文字+数字+記号の場合は約 2785 京 97 兆 6009 億通りとなります。
記号を組み合わせるといっても、英単語の文字を記号に変えるといったものは、すでに「パスワード スプレー攻撃」などのよくある攻撃手段に組み込まれています。
「 P@$$w0rd」というようなキーワードは、最初から攻撃対象になっているのが現状です。
パスワード スプレー攻撃の例 (Japan Azure Identity Support Blogより引用)
安全性を考慮するなら、サイトごとに違った「英大文字小文字+数字+記号で 10 桁以上」のパスワードを作成して運用するべきです。
しかし、サイトの数だけパスワードを覚えるのはとても大変ですね。
そういった人のために、「パスワード生成・管理ソフト」や「アクセス管理クラウド SKUID」などのサービスを利用するのも一つの手段です。
「パスワード生成・管理ソフト」は有料のものがほとんどですが「KeePass Password Safe」のように無料で使えるものもあります。
無料とはいえ、オープンソースで開発され、暗号鍵を自分で生成する信頼性の高いソフトですから安心して使うことができるのです。
暗号鍵の生成など、最初の設定は面倒かもしれませんが、一度設定してしまえばあとは簡単です。
解説ページも用意していますので、検討してみてはいかかでしょう。
無料で使えるパスワード管理 【KeePass Password Safe】
セキュリティの基本を身につけるには?
「国民のための情報セキュリティサイト」には、インターネットを安全に利用するための基礎知識がたくさん書かれています。
子供向けの「国民のための情報セキュリティサイト キッズ」もあるので、一度家族で見てみるのも良いでしょう。
内閣サイバーセキュリティセンター(NISC)が発行している「インターネットの安全・安心ハンドブック」は、Amazon Kindleや楽天Koboなどの電子書籍版も最新版が無料で配布されています。
いつでも読めるように、手元に1冊用意しておくのもいいかもしれません。
