
パスワードの定期的な変更は実は危険!?パスワードのNG&条件とは
2018/05/30ネットサービスの利用には欠かせないパスワードは、従来は定期的に変更することがセキュリティ対策として有効とされていましたが、最近ではその方針が変わってきていることが話題に。最新のパスワード事情を見ていきましょう。
◆驚きに満ちたパスワード設定にまつわる方針転換
パソコンやスマホなどで利用するネットサービスでは、必ずと言っていいほどパスワードが必要となってきます。登録している会員サービスが増えていくほど、セキュリティ面の管理が大変です。
通販サイトなどを含めれば、誰しもが一度は作ったことがあるパスワード。安全性を考えた使い方や作成方法をIT小ネタ帳でも何度か取り上げてきましたが、2018年3月、センセーショナルな出来事がありました。
そう。「パスワードの定期的な変更は不要」という発表です。
この今までの定説からの方針転換については、総務省による「国民のための情報セキュリティサイト」で確認することができますが、そもそもの発端は、2017年にアメリカの「国立標準技術研究所(NIST)」が発表した最新のガイドラインに準じたものです。
◆パスワードの定期的な変更をしなくてもいい理由
では、どうしてこのような方針転換が行われたのでしょうか。その理由としては、パスワードを定期的に変更していると、
「パスワード作りのルールがパターン化されやすい」
これがもっとも大きいと考えられています。
というのも、
・複雑なパスワードをサービス登録ごとに考えるのが大変
・異なるパスワードを覚える労力が必要
などから、自分なりのルールに乗っ取ったパスワードや覚えやすいパスワードを作ったり、さらに面倒だからとパスワードの使い回しをするケースも出てきます。
こうなると攻撃する側から見れば“容易に推測可能なパスワード”となってしまい、結果として多数のサービスに被害が及んでしまうことになります。
つまり、パスワードを定期的に変更しているからこそ、覚えやすさやルールの単純化が起きやすいと考えられ、方針転換に至ったとされています。
◆定期的に変えずとも使い回しはやっぱりNG!
ただし、パスワードの定期的な変更は不要になったから楽……というのは、大きな間違いです。その言葉だけを鵜呑みにしてはいけません。
注目すべきは定期的に変える必要がない状況として、
・利用しているパスワードを突破された形跡がある
・登録しているサービスで個人情報の流出などが発生
といった問題がなく、使用中のパスワードの安全性が確認されていることが必要となります。
さらに注意すべきポイントが、
・パスワードの使い回しは方針転換があっても絶対NG
である点です。
いくらパスワードを定期的に変更しなくてもいいという方針が発表されたからと言っても、同じパスワードを使い回すことがリスクを高めるのは変わりありません。同じ理由で簡単なパスワードを設定することもNGです。
◆パスワードを安全に使う上で気を付けておくことは
パスワードを安全かつ長期的に使うには、他人からは類推されづらいものにすることが大切です。
【パスワード作りにおけるNG要素】
・「12345…」のような連番は使わない
・英単語などはそのまま使用しない
・生年月日など自分に関する情報は避ける
【複雑なパスワードを作る際の必須条件】
・アルファベットや数字、記号などを併用
・可能な限り、大文字と小文字を混ぜる
・覚えられる範囲で長めのものにする
以上のことは最低限、守ることをオススメします。
ちなみに、生年月日などの使用は避けたいところですが、どうしても使いたいというのであれば、たとえば「2018年1月1日」生まれただと仮定した場合、「0180101_2」のように、自分なりの変更ルールを設けておくようにしましょう。
また意外に真面目に設定している人が多いのが、パスワード忘れ時に使う「質問」の回答。たとえば「出身小学校は」などに対して本当の学校名を設定する必要はなく、好きな食べ物にしておくなどすれば、こちらもセキュリティ対策となり得ます。
またパスワードを盗むなどの悪意ある攻撃に対しては、端末自体のセキュリティ対策も欠かせません。たとえばニフティが提供する「常時安全セキュリティ24」のような総合セキュリティソフトであれば、端末3台までネットのさまざまな脅威に備えることができるので、このようなセキュリティサービスを活用すると安心です。
>>@nifty「常時安全セュキュリティ24」の詳細はこちら
※初月無料
大切な個人情報を守るため、できることはやっておくというのが大事なスタンスであることをお忘れなく!
※記事内容は2018年5月現在の情報を基に作成。