「パスワードの定期的な変更は不要」を勘違いしてはダメ! パスワードを長く使うための注意点

写真拡大

これまで、ネットで扱うID・パスワード管理で推奨されていたのが、
「パスワードを定期的に変更する」
という、常識だった。

しかし、これが一変することとなった。

総務省が、
「パスワードの定期的な変更は不要」
と方針転換したからだ(「国民のための情報セキュリティサイト」より)。

これは、ちょっとした衝撃だ。

しかし、この「パスワードの定期的な変更は不要」を誤解してはいけない。


●パスワードを変更しないほうが安全――そのココロは?
利用しているWebサービスなどでは、これまで、
「●日間パスワードが変更されていません。安全のため、定期的にパスワードを変更することをお勧めします」
といったメッセージが表示されてきた。

パスワードを変更するのと、変更しないのと、どちらが安全なのだろうか?

総務省のサイトによると、
・実際にパスワードを破られる
・サービス側で個人情報が流出した
といった事件や問題が発生したのでなければ、変更する必要はないとのこと。

セキュリティ的に特別な問題が起こらない限りは、使い続けることを推奨している。

それには理由がある。

実は、定期的なパスワードの変更では、以下の問題点があるとしているからだ。
・パスワードの作り方がパターン化され、推測可能な簡単なパスワードが増える
・パスワードの使い回しが増える

定期的なパスワード変更では、
・毎回、複雑なパスワードを考えるのが大変
・複数のサービスで、異なるパスワードを覚えるのは至難の業
といった理由から、破られやすいパスワード、使い回しされるパスワードが増える。

しかし、単純で推測されやすいパスワードは、簡単に破られやすい。
また、パスワードの使い回しは、1つのサービスでパスワードが漏洩すると、利用しているほかのサービスにまで被害が及ぶ。

つまり、定期的な変更をすることにより、危険が増すとの見解だ。


●使い回していないから変更しなくてよい、の落とし穴
パスワードの使い回しは、これまでどおりNGだ。
となると、1つのサービスに1つのパスワードが必要となる。

ここで注意したいのは、
「自分はパスワードを使い回していないから大丈夫」
と思っている人だ。

なぜなら、変更しなくてよいとされるのは
「複雑で破られないパスワード」
これが前提となっているからだ。

現在、単純なパスワードを使っている人は、破られていないからといって、そのままでいいわけがない。
単純なパスワードは、万が一、パスワード情報が流出すれば、簡単に破られてしまうからだ。

まずは、速やかに
「複雑で破られないパスワード」
に変更しよう。


●安全なパスワードを作って長く使う
1つのサービスで長く安心してパスワードを使うためには、複雑なパスワードを作る必要がある。

複雑で破られないパスワードの作り方は、
・名前や誕生日などの個人情報を含めない
・英単語をそのまま使わない
・アルファベットと数字、記号を混在させる
・大文字と小文字を混在させる(大文字小文字を認識する場合)
・短すぎず、適切な長さにする
・類推されやすいものを避ける

しかし複雑すぎて覚えられなかったり、忘れたりするのでは意味がない。

たとえば、
・自分だけがわかる造語
・一部の数字や記号、英文字を変更する
・自分がよく使う英字、数字、記号を組み合わせる
など、自分だけのパスワード作成ルールを作るのも、一つの方法だ。