Modern Device Gutter

わたしは北海道に住むmizoreと申します。機械と機械と機械が好きです。

パスワードを定期的に変えると逆に危険!今まで頑張って変更していた人には残念ですが悲報です。

f:id:mizorechang:20180327220757j:plain

パスワード変えるのって面倒ですよね。なのでわたしはパスワードを変えたことがないのです。最近パスワードのニュースが飛び込んで来て、わたしのパスワード変更のネガティブキャンペーンが報われた気になっています。

こんなわたしですが「サウジアラビアからアクセスしようとしています」とか「PCからログインを試みしましたが失敗しました」というメールがたまに届きます。

誰かテロリストに狙われているんですね。国家の重要な人物だと勘違いしているのでしょう。定期的に注告されるんです。パスワードの変更をしなさいと。あらゆるサイトやデバイスで常套句のメッセージとなっています。

しかし、総務省によると「パスワードは頻繁に変更しないほうがいい」そうです。常識的に考えると、パスワードの定期変更はリスクを軽減するうえで有効なようにも思えます。

しかし最近になって、総務省の運営する「国民のための情報セキュリティサイト」から、定期的なパスワード変更を促す文言が消えたそうです。

2017年秋にも「定期変更は不要」との文言を追加しており、同省がむしろパスワードを固定するよう、国民に働きかけていることは明らかです。

背景には、2016年頃から増えてきた、定期変更はむしろリスクを高めることに繋がりかねないという専門家たちの判断があります。

専門家によると「頻繁に変更を求められると、少ない字数で覚えやすい語句を使ったり、変更前と似た語句を使ったりするようになり、他人が類推しやすくなる」のだとか。

つまり、自分の生まれた西暦にあやかってsatoshi1990としていたところを、親の西暦であるsatoshi1960にしたところで、有効どころか類推リスクを高めるだけだ、というわけです。

f:id:mizorechang:20180327220900g:plain

もちろん、パスワードをランダム生成する場合はその限りではないでしょうが、一般的にランダムに文字列を組み合わせるユーザーはほとんどいないでしょう。

こうした「パスワードの常識」を見直す動きは、今回に始まったことではありません。最近も、かつてアメリカ国立標準技術研究所の所長を務め、パスワードのガイドライン作成に関わったビル・バー氏が、「小文字のほかに、大文字や数字を組み合わせても大した意味がない」と発言、誤りを後悔していると述べ、大きな注目を集めました。

なお、バー氏も同様に、定期的な変更がむしろ攻撃のリスクを高めてしまう可能性があると指摘しています。さて真実はどうなのでしょうか。

この流れで最近流行りの「確認コードをメールで送信しました」となる2ファクター認証が幅広いサービスで採用されなければ良いなと思うのですが。

クロネコヤマトのショッピングカート『らくうるカート』