個人情報流出のニュースをテレビやネットで目にする機会は、この記事をお読みの方の間でも少なくないのでは?
そして自分の使っているECサイトなどの「個人情報流出のお知らせ」を見ると、個人情報を少しでも守るために「パスワードの強度を高めたい」と思う方は多いはず。
そこで気になるのが、かつてパスワードの強度を高めるための対策として有名だった「パスワードの定期的な変更」の必要性ではないでしょうか。
しかし、特にあまり使っていないサービスなどのパスワード変更は億劫なもの。できればしたくない作業ですが、本当にパスワード変更は必要なのでしょうか。
実は昨今、「パスワードの定期的な変更」はセキュリティ対策として微妙というのが定説です。具体的に見ていきましょう。
「パスワードの定期的な変更」はセキュリティ対策として微妙?
従来、パスワードの定期変更はセキュリティを強化する手段と考えられてきました。しかし、近年は以下の理由でその有効性が疑問視されています。
まず頻繁な変更を求めると、ユーザーは覚えやすい簡単なパスワードを選びがちになり、セキュリティが低下する可能性があります。多くのユーザーにとって大文字・小文字・英数字を含み、十分な長さのあるパスワードで、なおかつ覚えやすいものは限られているためです。
その上、定期的に変更すると、変更後のパスワードが以前のものに似た形式(例:「password1」→「password2」)になる傾向があり、攻撃者に推測されやすくなります。
加えて悪意のある攻撃者は、パスワード変更のタイミングを狙うこと自体は少なく、変更そのものが直接的な防御策にはなりません。つまり、パスワードの変更そのものの効果は小さく、強固なパスワードの設定や多要素認証の方が効果的です。
最新ガイドラインの変更
米国国立標準技術研究所(NIST)が2017年に更新したガイドラインには「定期的なパスワード変更は必要がない」と明記しています。2024年の改訂草案でもこの方針が強調されており、変更は認証情報が漏洩した場合にのみ必要とされています。
パスワードの変更そのものに意味はある?
先述したように、パスワードは定期的かつ強制的な変更は必要ないと考えられます。ただし、アカウントが侵害された証拠がある場合や、パスワードが漏洩した可能性がある場合には、速やかに変更する必要があります。
定期的な変更を強制すると、ユーザーが覚えやすい簡単なパスワードを選んだり、パスワードの作り方がパターン化する恐れがあるため注意が必要です。
推奨されるパスワード管理方法とは?
パスワードの定期変更は不要なものの、同じパスワードを複数のサービスで使いまわすとセキュリティリスクは高まります。推測されにくいパスワードを、そのサイト専用で利用するようにしましょう。
また、パスワードに加え、SMSコードや生体認証などの追加認証を導入することで、セキュリティを大幅に向上させることができます。面倒でも二段階認証を有効にしましょう。
※サムネイル画像(Image:Shutterstock.com)
