「パスワードは定期的に変更しない」が新常識?

ネット銀行や大手WEBサービスも、パスワードの定期的な変更を推奨しています

ネット銀行や大手WEBサービスも、パスワードの定期的な変更を推奨しています

ISO/IEC 27001やPマークを取得し、セキュリティ対策を行っている会社で働いているのであれば、「パスワードを定期的に変更する」はお決まりのフレーズですよね。個人的に利用する、ネット銀行や大手WEBサービスも、パスワードの定期的な変更を推奨しています。

ところが、いまや「パスワードは定期的に変更しないほうが良い」が常識になりつつあります。年に数回くらいですが、セキュリティ機関や大学がそのようなレポートを発表し、ニュースになったりしています。

また総務省による「国民のための情報セキュリティサイト」には、次のように注意喚起されています。
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。

パスワードはただでさえ、意味を持たないランダムな文字にする、12桁など文字数を大きくする、サービスごとに設ける、というかなり面倒くさいものです。今回は、そんな面倒なパスワードを定期的に変更したほうが良いのか悪いのか、一般ユーザーの視点で考えてみましょう。


パスワードを定期的に変更するメリットとデメリット

2017年には米国立標準技術研究所(NIST)が「パスワードの定期的な変更」の推奨をやめるということでニュースになりました。では「パスワードを定期的に変更する」は意味がないのでしょうか?どういう意図なのか整理していきましょう。

  • パスワード変更のメリット
もしパスワードが漏えいしていたらと仮定した場合に、パスワード変更の意味があります。

たとえば、「自分のメールアドレスが流出していないか確かめる方法」で取り上げたように、WEBサービス提供側が不正アクセスに遭い、パスワードを記録しているデータベースが漏えいしたという事件が発生しています。通常、パスワードは計算結果を保存するため解析が必要になり、データベースが漏えいしてもイコールパスワード漏えいではありません。強力なパスワードを使っていたなら、その解析には1年などの時間がかかるはずです。なので、定期的にパスワードを変更していれば、漏えいしたパスワードの解析が完了する頃には古い情報になっている、という計算になります。

それと「Facebook写真が覗き見される?不正アクセスを防ぐには」で取り上げた事件のように、既にパスワードが突破され、不正アクセスの被害に遭っている場合は、定期的なパスワード変更で、事件の長期化を防ぐことができます。

  • パスワード変更のデメリット
IT専門家ではない一般ユーザーがパスワードを定期的に変更しようとすると、昔に使っていたパスワードをローテーションしたり、むしろパスワードの強度を劣化させてしまうことが既知の事実だったりします。パスワード運用で最も大切なことは、強力なパスワードを使うということ。定期的に変更するためにパスワードを劣化させてしまったら、本末転倒です。


パスワードを定期的に見直すことはとても大切です

私の場合は、パスワードを1年で1回変更しています。また、情報処理推進機構(IPA)もパスワードの定期変更を推奨しています

たとえば、アカウント登録時はパスワードに記号が使えなかったが使えるように変わった、使える記号の種類や文字数が増えた、2要素認証に対応したなど、サービス提供側がどんどん進化しているのが理由の一つです。また考え方が変わることもありますしね。パスワードの桁数が昔は8桁で安心レベルと言われていましたが、解析するハードウェアの進歩で数年前からパスワード12桁が安心レベルになりつつあります。実際のところとしては、より強力なパスワードへバージョンアップするため見直すことをしています。

もしアカウント登録時のままでパスワードを使い続けているという方は、6桁の文字数や、記号を使っていない、……なんて、今となってはかなり弱いパスワードを使っているかもしれません。パスワードを定期的に点検し、必要であればバージョンアップすることが大切だと思います。うっかり6桁の文字数だったなど、パスワードを変更するときは強力なパスワードになるよう「セキュリティのプロが実践する安心パスワードの作り方」も読んでみてください。


「パスワードは時代遅れです」!?

「パスワードは時代遅れです」といって、Windows10のインストール時にはパスワードの代わりにPINを使うことが推奨されています。PINは、最低4桁で数字のみです。

また米国立標準技術研究所のニュースには続きがあって、そもそもパスワードの使用ではなく、“パスフレーズ”を推奨するとのこと。パスワードは「Aei,kzN8」みたいな意味を持たない文字を並べるものですが、パスフレーズは「I have a pen~」みたいな長くても覚えられる文章や単語の集まりです。

少しずつですが、面倒くさいパスワードそのものからの脱却がはじまっている、そんな気がします。パスワードレス認証技術も確立されていますしね。たとえば、Siriに「Amazon開いて」と頼むと自動でログインしたり認証を行ってくれるような、パスワードを使わない世界がすぐそこまで近づいているのではないでしょうか。新しい時代の到来に期待したいですね!

【関連記事】
流出させない!プロが実践するパスワードの管理術


※記事内容は執筆時点のものです。最新の内容をご確認ください。
※OSやアプリ、ソフトのバージョンによっては画面表示、操作方法が異なる可能性があります。