【新常識】パスワードを定期的に変更するのは危険!

どうも。salary_manです。

会社のパソコンで、ログインパスワードの定期変更を強制されている人は多いと思います。
仮想通貨取引所では強制されませんが、ハッキングも多いし、やはり定期的に変更するべきなのでしょうか?

実は最近、パスワードの定期変更はセキュリティ低下を招くため非推奨とされ始めています。
今日はそんなお話。

スポンサーリンク
レクタングル大広告

米政府機関がパスワード定期変更を否定

米政府機関であるNIST(米国立標準技術研究所)が、2017年6月に発行したガイドラインで「パスワードの定期的な変更はすべきではない」と発表し、話題となりました。

NISTのガイドラインは米政府のセキュリティ対策の指針となっており、今後はこのガイドラインに沿って、各種Webサービスのパスワードルールが変わることが予想されます。

他にも、パスワード失念時の救済手段でよくある「秘密の質問」も、回答の文字数が少なくなりがちなので使うべきではないと記載されています。

詳細は以下のブログを参照ください。

パスワード定期変更の効果

当初は「パスワードの使用期間が長くなるほど、ツール等で解析されやすくなる」という理由で、定期的に変更することが推奨されてました。

ですが実は、NISTのガイドライン発表前から、専門家の間ではパスワード定期変更が危険であることは認識されていたようです。
当時のルール提唱者も「結果的に間違いだった」と当時の誤りを認めています。


パスワード定期変更が危険である理由は以下のとおりです。

  • ユーザは類似のパスワードを使い回すので、変更する効果がない。
  • 定期的に変更することが前提のため、簡単な文字列・桁数にしがち。
  • 定期的に変わるパスワードを忘れないよう、メモ帳や付箋に記録してしまう。
  • パスワード変更時に情報が盗み取られるリスクがある。(キーロガー等)

心当たりありませんか?私はあります。

マイクロソフトもパスワード無期限化を推奨

NISTのガイドラインに準拠したのか、マイクロソフトのオンラインサービス「Office365」では現在、パスワードの無期限化が推奨されるようになりました。
これはもう業界標準がパスワード無期限化に移っているといっていいでしょう。

注意:パスワード自体の複雑化は必須!

ここで気を付けてほしいのが、ただ定期変更をやめればいいだけではないこと。
短いパスワードのままだとすぐ解読されてしまいます。(当たり前か)

マイクロソフトが提供するセキュリティベースラインでは、以下の設定が推奨されています。

  • パスワード桁数は14桁以上
  • 英大文字・小文字・数字・記号から3種類以上
  • ユーザIDをパスワードに使わない(ユーザID+2018など)

パスワード桁数は以下の記事で推考していますので、ご参照ください。

「そんな複雑なパスワード、絶対覚えられない!」という人は、パスワード管理ツールを使用しましょう。
クラウド嫌いの私は「Keepass2」をおすすめしています。

まとめ

パスワードは定期的に変更しなくてよいので、必ず複雑なものを設定しましょう。
そしてうちの会社よ、早く強制変更を廃止してくれ。(切実)

スポンサーリンク
レクタングル大広告

  • このエントリーをはてなブックマークに追加
スポンサーリンク
レクタングル大広告