「パスワードの定期的な変更は不要」を勘違いしてはダメ! パスワードを長く使うための注意点
「パスワードを定期的に変更する」
という、常識だった。
しかし、これが一変することとなった。
総務省が、
「パスワードの定期的な変更は不要」
と方針転換したからだ(「国民のための情報セキュリティサイト」より)。
これは、ちょっとした衝撃だ。
しかし、この「パスワードの定期的な変更は不要」を誤解してはいけない。
●パスワードを変更しないほうが安全――そのココロは?
利用しているWebサービスなどでは、これまで、
「●日間パスワードが変更されていません。安全のため、定期的にパスワードを変更することをお勧めします」
といったメッセージが表示されてきた。
パスワードを変更するのと、変更しないのと、どちらが安全なのだろうか?
総務省のサイトによると、
・実際にパスワードを破られる
・サービス側で個人情報が流出した
といった事件や問題が発生したのでなければ、変更する必要はないとのこと。
セキュリティ的に特別な問題が起こらない限りは、使い続けることを推奨している。
それには理由がある。
実は、定期的なパスワードの変更では、以下の問題点があるとしているからだ。
・パスワードの作り方がパターン化され、推測可能な簡単なパスワードが増える
・パスワードの使い回しが増える
定期的なパスワード変更では、
・毎回、複雑なパスワードを考えるのが大変
・複数のサービスで、異なるパスワードを覚えるのは至難の業
といった理由から、破られやすいパスワード、使い回しされるパスワードが増える。
しかし、単純で推測されやすいパスワードは、簡単に破られやすい。
また、パスワードの使い回しは、1つのサービスでパスワードが漏洩すると、利用しているほかのサービスにまで被害が及ぶ。
つまり、定期的な変更をすることにより、危険が増すとの見解だ。
●使い回していないから変更しなくてよい、の落とし穴
パスワードの使い回しは、これまでどおりNGだ。
となると、1つのサービスに1つのパスワードが必要となる。
ここで注意したいのは、
「自分はパスワードを使い回していないから大丈夫」
と思っている人だ。
なぜなら、変更しなくてよいとされるのは
「複雑で破られないパスワード」
これが前提となっているからだ。
現在、単純なパスワードを使っている人は、破られていないからといって、そのままでいいわけがない。
単純なパスワードは、万が一、パスワード情報が流出すれば、簡単に破られてしまうからだ。
まずは、速やかに
「複雑で破られないパスワード」
に変更しよう。
●安全なパスワードを作って長く使う
1つのサービスで長く安心してパスワードを使うためには、複雑なパスワードを作る必要がある。
複雑で破られないパスワードの作り方は、
・名前や誕生日などの個人情報を含めない
・英単語をそのまま使わない
・アルファベットと数字、記号を混在させる
・大文字と小文字を混在させる(大文字小文字を認識する場合)
・短すぎず、適切な長さにする
・類推されやすいものを避ける
しかし複雑すぎて覚えられなかったり、忘れたりするのでは意味がない。
たとえば、
・自分だけがわかる造語
・一部の数字や記号、英文字を変更する
・自分がよく使う英字、数字、記号を組み合わせる
など、自分だけのパスワード作成ルールを作るのも、一つの方法だ。
