パスワードを定期的に変えてはいけない
私のパスワード管理法
銀行などから「30日間パスワードが変更されていません」と、お節介なお知らせが来るが、全て無視している。じゃぁ、私はどのようにパスワードを管理しているかというと、
- 15文字以上のアルファベット・数字・記号を組み合わせて推測が困難なパスワードを使う
- 同じパスワードの使い回しはしない
- ブラウザに「パスワード保存」はしない
- パスワードの管理は、LastPassとIDmanagerで行い、Masterパスワードだけを記憶しておく
- インターネットバンキングはワンタイムパスワードを併用し、フィッシング詐欺対策として、銀行推奨のアプリはインストールしておく(万が一被害に遭っても銀行からの補償を受けられる)
だいたい、パスワードや暗証番号が盗まれたら、数時間後には預金は引き出されているだろうから、月一でパスワードを変更するのは、何の対策にもなっていません。それに忘れやすい。
忘れないために、Excelに記録しておくなんてことをしている方もいるが、エクセルのブックにパスワードを設定している人はどれほどいるのだろうか。付箋に書いてPCに張り付けておくなんて、最悪ですね。
頻繁にパスワードの変更を催促しても、一文字変えたパスワードを使い回しているのが実情ではないでしょうか。
なぜ、「パスワードの定期的な変更」が推奨されていたのか
情報処理推進機構(IPA)のホームページには、「パスワードの奪取・解析に成功したクラッカは、所有者に知られないようシステムを使い続けていることが通例で、定期的にパスワード変更することで、奪われたパスワードを無効にする狙いがある」とあり、不正アクセスによる被害は目には見えないため、万が一に備えた対策のひとつとされていたのですね。
しかし、パスワードの変更回数と不正ログインされる確率を調べたところ、パスワードの変更回数を多くしても不正ログインされる確率は小さくならないという調査結果があるのです。
日米で方向転換
News Week 日本語版に、こんな記事が載りました。
米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。
ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。
日本政府もそれに併せたかのように、総務省の国民のための情報セキュリティサイトには現在、「パスワードの定期的な変更は不要」と書かれています。
内閣サイバーセキュリティセンター(NISC)も情報セキュリティハンドブックでも「パスワードの定期変更は必要なし」と説明しています。
これ、常識的で実情に合った勧告ですね。しかし64文字以上の「パス フレーズ」も敷居が高い。当面は15文字程度のランダムな組み合わせでパスワードを生成していこう。