パスワードの定期的な更新は、してはいけない!

あれ!、このタイトルは逆ではないのと思ったあなた。現代の常識は「パスワードは定期的に更新しなさい」となっているようですが、それは間違っています。定期的に更新すると、返ってパスワードの漏洩リスクが高くなるのです。

その理由をこれから説明をします。そして安全なパスワードの保存の仕方、使い方などについて説明をいたします。

パスワード定期更新の催促

銀行口座を持っていてインターネットバンキングなどをやっている方は、ログインをした時に「定期的なパスワードを更新のお願い」というメッセージを受け取ることがあるのではないでしょうか。

私が日常的に使っているある銀行口座では、毎回ログインをするたびに上のようなメッセージが表示されて煩わしいです。(この口座は、3年半以上無視して変更しておりません)

最近はワンタイムパスワードが普及したこともあって、上のようなメッセージを表示する銀行は少なくなって来ております。

しかし、会社が支給したメールアドレスや社内ネットワークサイトへのログインなどにおいて、未だにパスワードを定期的に変更するように定めている会社が多いです。中には半年ごとに強制的にパスワードを変更させるような仕組みになっている組織もあります。

しかし仮にパスワードが漏洩したのであれば、半年ごとにパスワードを変更しても、最大では半年間漏洩したパスワードが放置されたままということになる。本当にパスワードの定期更新は必要でかつ実効性のあるものなのでしょうか。

私の娘の例では、会社のログインパスワードを1文字だけ大文字小文字と取り替えただけの簡単なものを2種類作って、パスワード変更のメッセージが出るたびに、それを交互に使っております。これで会社のセキュリティ部門は通過できるのですが、果たしてこのパスワードが安全と言えるでしょうか。

総務省の見解

先に結論を申し上げましょう。総務省の「国民のためのサイバーセキュリティサイト」には、「安全なパスワード管理」のページに次のように書かれております。

パスワードを複数のサービスで使い回さない(定期的な変更は不要)

  また、パスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし、重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。

  なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

  これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。

(※1) NIST SP800-63B(電子的認証に関するガイドライン)
(※2)インターネットの安全・安心ハンドブック Ver 4.20 p.61
    https://www.nisc.go.jp/security-site/handbook/index.html

総務省「国民のためのサイバーセキュリティサイト」より

つまり、総務省のサイトの内容を要約すると、

  • 単純なパスワードを使いまわさない
  • パスワードの定期的な変更はパターン化しやすく、使いまわしにつながる
  • ある文字数以上の数字アルファベットの大文字小文字記号を組み合わせた一定程度以上の文字数のパスワード使う
  • サービスを提供する側もパスワードの定期的な変更を要求すべきでない

との解釈が2017年には出ているのです。

この際、パスワードの定期的な更新なんか止めちゃいましょう。

パスワードの作成と管理の方法

理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることができます。

ですが、パスワードを覚えようとしないことです。覚えようとするから単純なパスワードになってしまうのです。

私の場合は、ID Managerでランダムな16文字程度のパスワードを作成して、使い回しは一切しないようにしております。

ランダムで文字数の多いパスワードを使いましょう。しかしそれは記憶することは難しいです。そのためには「パスワード管理ツール」やサービスを使うことです。

お勧めのパスワード管理ツール

私がずっと日常的に使っているパスワード管理ツールは次の2つです。無料で使えので、この2つを使用しています

  • ID Manager (データはパソコンに保存されますが、使い勝手のいいアプリです。パスワード生成機能も持っています:無料)
  • LastPass (Web ベースのアプリです。スマートフォンとの連携もできますが、その場合は有料となります)

これ以外にも次のようなパスワード管理ツールがあります。

あなたがすでにウイルス対策ソフトをインストール済みであれば、その会社のパスワードマネージャー(例えばマカフィーのTrue Key)などを使うのも一つの方法でしょう。その場合は無料で使えることが多いです。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です