パスワードを定期的に変更するべきじゃない理由とは?

公開: 2018/06/29 13:14

銀行やクレジットカード会社のマイページなどでは、定期的にパスワードの変更を求められます。
「いちいち煩わしいな」と思ったことはないでしょうか?

実は、最先端のセキュリティの現場では、パスワードを定期的に変更するというのはNGだということがすでに定説になっています。

定期的な変更をすることでパスワードの作り方がパターン化し推測しやすいものになることや、数個のパスワードを何度も使い回しすることの方が危険だということです。

他にも、アメリカ国立標準技術研究所元所長のビル・バー氏によると「パスワードには大文字・小文字・半角数字を混ぜて」というのはあまり意味がないとウォールストリートジャーナルの取材に対して答えています。

パスワードを定期的に変更するべきじゃない

総務省の「国民のための情報セキュリティサイト」では、2018年3月1日になってようやく、「定期的にパスワードを変更しましょう」という文言が削除され「パスワードを複数のサービスで使い回さない(定期的な変更は不要)」と書き改められています。

国民のための情報セキュリティサイト

また、内閣サイバーセキュリティセンター(NISC)が発行している「ネットワークビギナーのための情報セキュリティハンドブック」にも同じことが書かれています。
ネットワークビギナーのための情報セキュリティハンドブック(PDF版)

つまり、銀行サイトが定期的に「パスワードを変更してください」と要求していたのは間違いだというわけです。
そして「同じパスワードを複数のサービスで使い回さない」ということの方が重要だということです。

推奨されるパスワードは、英大文字小文字+数字+記号で 10 桁以上とされています。
ちなみに、10桁の組み合わせ数は、数字のみの場合は100 億通り、英大文字小文字+数字+記号の場合は約 2785 京 97 兆 6009 億通りとなります。

記号を組み合わせるといっても、英単語の文字を記号に変えるといったものは、すでに「パスワード スプレー攻撃」などのよくある攻撃手段に組み込まれています
「 P@$$w0rd」というようなキーワードは、最初から攻撃対象になっているのが現状です。

パスワード スプレー攻撃の例 (Japan Azure Identity Support Blogより引用)
パスワード スプレー攻撃の例 (Japan Azure Identity Support Blogより引用)

安全性を考慮するなら、サイトごとに違った「英大文字小文字+数字+記号で 10 桁以上」のパスワードを作成して運用するべきです。

しかし、サイトの数だけパスワードを覚えるのはとても大変ですね。

そういった人のために、「パスワード生成・管理ソフト」や「アクセス管理クラウド SKUID」などのサービスを利用するのも一つの手段です。

パスワード生成・管理ソフト」は有料のものがほとんどですが「KeePass Password Safe」のように無料で使えるものもあります。
無料とはいえ、オープンソースで開発され、暗号鍵を自分で生成する信頼性の高いソフトですから安心して使うことができるのです。

暗号鍵の生成など、最初の設定は面倒かもしれませんが、一度設定してしまえばあとは簡単です。
解説ページも用意していますので、検討してみてはいかかでしょう。
無料で使えるパスワード管理 【KeePass Password Safe】

企業向けアクセス管理クラウドを個人で利用する

設定が面倒だという人には、「アクセス管理クラウド SKUID」が良いかもしれません。


無料のシングルサインオン SKUID

こちらは、GMOグループの「GMOグローバルサイン株式会社」が運営する「複数のログイン情報をひとつにまとめるクラウドサービス」です。
対応しているインターネットサービスなら「SKUID」にログインするだけでそのサービスに移動できるようになります。

企業向けのサービスですが、対応しているサービスも1500以上あり、著名なサービスは対応しているようです。

SKUID 対応サービス

クラウドサービスなので、金融機関などのパスワードを登録することはおすすめしませんが、個人情報を登録しているサービスのパスワードを厳重にするには役立つサービスだと思います。

なにより運営元の「GMOグローバルサイン株式会社」は、インターネットサービスで、身元識別を実現する電子認証サービスを提供している会社ですから、あなたも「グローバルサイン」のセキュリティステッカーを見たことがあると思います。
SSLサーバ証明書発行機関として20年以上の経験を持つ信頼の第三者認証局として、ベルギー政府などのお墨付きを得た認証局なので、信頼性は抜群です。

基本機能は無料で利用できるので、一度お試ししてみてください。
きっと気に入ると思います。

他にも、「国民のための情報セキュリティサイト」には、インターネットを安全に利用するための基礎知識がたくさん書かれています。
子供向けの「国民のための情報セキュリティサイト キッズ」もあるので、一度家族で見てみるのも良いでしょう。

内閣サイバーセキュリティセンター(NISC)が発行している「ネットワークビギナーのための情報セキュリティハンドブック」は、Amazon Kindleや楽天Koboなどの電子書籍版も最新版が無料で配布されています。
いつでも読めるように、手元に1冊用意しておくのもいいかもしれません。

ネットワークビギナーのための情報セキュリティハンドブック
電子書籍版(無料配信)

iTunes Kindle ストア ebookjapan
BOOKFAN コミックシーモア dブック
ひかりTV ブック music.jp DMM.com
Kinoppy Yahoo!ブックストア GooglePlay ブックス
COCORO BOOKS セブンネットショッピング honto
漫画全巻ドットコム Digital e-hon ニコニコ静画
cdjapan eBooks Neowing eBooks フジテレビオンデマンド
BOOKWALKER BookLive! ブックパス
ReaderStore BookPlace 楽天Kobo

 

インターネットでは、これまで常識だとされていたことが180度ひっくり返ることも珍しくありません。
安全に利用するために、常に最新の情報を確認するようにしてください。