SNSや通販サイトなどにログインする場合の、パスワードは定期的に変更すべき、というのが従来の常識だった。
しかし2018年3月1日、総務省の国民のための情報セキュリティサイトから、“定期的にパスワードを変更しましょう” という文言が消えた。
パスワード「頻繁に変更はNG」 総務省が方針転換【日本経済新聞】
ほんとうに、パスワードを定期的に変更する必要はないのだろうか。
パスワードを定期的に変更する理由
パスワードを定期的に変更した方が良い理由は、第三者による “継続した” 不正アクセスを防ぐためだ。
SNSなどを完全に乗っ取られてアクセスできなくなったり、通販サイトで身に覚えがない高額商品を購入されれば、多くの人は不正アクセスに気づくだろう。
しかし、こっそりアクセスされ内部の個人情報を抜き取られただけでは、気付かない人もいる。
また少額であれば、通販サイトで購入されても気づかない人も少なくないかもしれない。
パスワードを定期的に変更することで、そんな継続的な被害を最低限に抑えることが可能だ。
パスワードを定期的に変更する必要はない、とされた理由
ではなぜ、“定期的にパスワードを変更しましょう” という文言が削除されたのだろうか。
頻繁にパスワードを変更することで、単純で分かりやすい(覚えやすい)パスワードを使ってしまう危険性があるから、ということらしい。
しかし前述のように、パスワードを定期的に変更することは、決してセキュリティ上意味がないことではない。
頻繁にパスワードを変更することで、覚えやすい、分かりやすい、類推しやすい、簡単なパスワードにしてしまうことが問題なのだ。
誕生日や電話番号など簡単なパスワードを使うことは、定期的な変更とは関係なく危険だ。
パスワードの不正取得には、文字・数字の組み合わせを片っ端から試す “総当り攻撃(Brute-force attack)” や、よく使われる文言や個人情報を利用した “辞書攻撃(Dictionary attack)” などがよく使われる。
僕が好きな米国のテレビドラマ「MR.ROBOT/ミスター・ロボット」でも、主人公がこのふたつの攻撃を組み合わせたオリジナルのプログラムで、ハッキングを試みるシーンがある。
僕は「MR.ROBOT/ミスター・ロボット」を見るためAmazonプライムに再加入した
数字とアルファベットの大文字・小文字を組み合わせた、桁数が多いパスワードを使い、定期的に変更した方がセキュリティが高いことは間違いない。
今回の削除は、簡単なパスワードを頻繁に変更するくらいであれば、複雑なパスワードを使い続けた方がマシ、ということだ。
そのあたりを理解せずに、単純に “定期的にパスワードを変更する必要はない” と判断してしまうのは早計といって良いだろう。
まとめ
今回の総務省の変更は、多くの誤解を生みそうだ。
なぜ “定期的にパスワードを変更しましょう” という文言を削除したのか、分かりやすい説明が必要だ。
またユーザーも単純に受け入れるのではなく、その理由をもっと考えた方が良いだろう。
パスワードの生成・管理には、僕も使っている1Passwordなどの専用アプリを使う方法もある。
1Password – AgileBits Inc.
こちらの投稿もいかがですか