家電小ネタ帳
【2019年版】パスワード最新事情 定期的な変更は不要って本当!?
公開日時 : 2019-09-11 18:00
更新日時 : 2019-09-11 18:00
インターネット上で展開されている各種サービスでは、IDやパスワードは欠かせない要素の一つです。
以前は、セキュリティ対策として「定期的な変更」が有効とされていましたが、最近ではその方針が180度転換されることに。
本当のところはどうなのでしょうか?
2018年の総務省の発表によりパスワード設定の方針が転換
パソコンやスマートフォンで通販サイトなど利用する際、パスワードを作ったことがある人は多いと思います。
ただ、定期的に変更を求められると、管理するパスワード数が多いほど管理が大変になってしまいます。
ところが、2018年3月、パスワード管理に関する方針として、「パスワードの定期的な変更は不要」という内容が総務省より発表されて大きな話題を呼んだことは、記憶に新しいところです。
方針転換は、2017年にアメリカの「国立標準技術研究所(NIST)」が発表した最新のガイドラインに準じて行われました。
さらに2019年4月に公開されたMicrosoftのOS「Windows10」のバージョン1903などのセキュリティベースラインのドラフトにおいても、「パスワードに期限を設定すべき」というポリシーを廃止。
実質的に、パスワードの定期変更は不要と表明したとして、注目を集めました。
定期的にパスワード変更しなくてもいい理由とは
これまで、パスワードは類推しにくい文字・数字・記号などの組み合わせで、定期的に変更するに望ましいというのが、セキュリティ上の定説としてありました。
どうして変わってしまったのでしょうか。
もちろん、パスワードを変更すること自体には特に危険性はありませんが、いくつものパスワードを何度も変えることで、
- 文字列作成のルールがパターン化しやすい
- 覚えやすい簡単なものにしてしまいやすい
- 使い回しする可能性が高まる
といった要因が、危険度を高めてしまう理由として考えられます。
たしかに、サービスごとに複雑なパスワードを考えたり、複数のパスワードを覚えたりは大変です。
また、何度も変更を重ねるうちに、サイバー攻撃をする側から類推されやすいパスワードになってしまった……なんて事態も起きかねません。
こうしたリスクを減らすため、流出していないパスワードをわざわざ変更する必要はないというのが、方針転換の要因なのでしょう。
どんなパスワードを作れば安全が高まるのか?
パスワードを定期的に変更する必要はない、という方向になりつつありますが、そもそも安全性の高いパスワードとは、どんなものなのでしょうか。
他人から推測されにくいもの、という話はよく耳にしますが、具体的には次のような条件を考慮してパスワードを決めてみてください。
- アルファベットだけでなく、数字や記号などを可能な範囲で併用
- 大文字と小文字が使える場合は、極力、両方を入れ込む
- 覚えられる範囲で長い文字列にする
上記の内容は最低限、守るべき事項ですが、反対にパスワード作成でやってはいけないことも合わせて確認しておきましょう。
- 生年月日や名前など自分に関する情報は避ける
- 実際に存在する英単語などをそのまま使わない
- 「1234…」といった連続した数字は使わない
- 同一パスワードを複数サイトで使い回す
一点目に関しては、学生番号や社員コードを使おうと考える人もいるかもしれませんが、それ単体で使うのは個人情報から類推されやすいため、危険です。
どうしても使いたい場合は、数字の並びを変えたりアルファベットを入れ込んだりと、何らかの一工夫が大切です。
また、いくらパスワードの定期的な変更は必要ないという背景が出てきたとはいえ、明らかにパスワードを突破された形跡や、登録サービスで情報流出などが発生した際は、すみやかにパスワードを変更してください。
セキュリティ対策ソフトの活用&パスワード保管方法にも注意
どんなに難解なパスワードを設定しても、悪意あるサイバー攻撃への対策を怠っていては意味がありません。
パソコンやスマホにセキュリティ対策ソフトやサービスを導入しておけば、万が一の際の脅威を防げる可能性がグッと上がります。
また、パスワードは暗記しておくのがベストですが、無意味な文字列をずっと記憶しておくのは大変です。
手帳などにメモしている人はいるかと思いますが、重要なのは、パソコンやスマホなどとは別の場所で管理すること。
可能なら、鍵のかかる机などを活用する方が安心です。
なお、パスワードを忘れた際の確認や再設定時に、登録時に決めた「質問」と「回答」を使うことがよくあります。
こちらも可能なら、質問と回答で無意味な組み合わせにしておくのがいいでしょう。
たとえば「好きな食べ物は」という質問には「ピアノ」など、対応関係のないものにしておくことで、セキュリティ効果を高められます。
個人情報を守るためには、できることをやっておきさえすれば、パスワードの定期的な変更がまったく不要になる日も近いはずです。
※2019年9月時点の記事です。