「パスワードを定期的に変更」は無意味!? セキュリティの新常識
新常識1:数字や記号を組み合わせても意味がない
「英大文字+英小文字+数字+記号が組み合わさっていれば、より安全」だと思っている人も多いでしょう。
ちなみに、数字のみ10字のパスワードの組み合わせは「10の10乗」で100億通り。一方、記号を26種類として「英大文字+英小文字+数字+記号」の場合の組み合わせは、約2785京97兆6009億通りです。
なんだか非常に安全なパスワードのような気がしますよね。しかし、かつて安全なパスワードを作るためのガイドラインに携わっていた人物であるビル・バー氏(元アメリカ国立標準技術研究所所長)は、安全なパスワードの基準として提唱していた「英大文字+英小文字+数字+記号」の組み合わせは意味がなかったと過去の持論の誤りを認めています。
これらの“安全な”パスワードの基準は、1980年代の論文に基づくものであり、実情を反映していなかったことが大きな要因のようです。
また、コンピューターのスペックが向上したことによって、単に「英大文字+英小文字+数字+記号」を組み合わせただけのパスワードではいずれ総当たり攻撃を受けてしまえば解読ができてしまうというリスクがあることが指摘されています。
新常識2:定期変更は危険
パスワードの管理でよく言われているのが、「パスワードの定期変更」です。実際、銀行口座のwebページや頻繁に利用するSNSサービスなどでは、
「あなたのパスワードは〇〇の期間変更されていません。変更をおすすめします」
などとのアラートを見たことがある人も多いのではないでしょうか。
2017年6月に、米国国立標準技術研究所(NIST=ニスト)は、サービスを提供する側がパスワードの定期的な変更を要求するべきではないというガイドラインを示しました。
これに基づいて、総務省は2017年の秋頃から「パスワードの定期的な変更は不要」との周知を行なっています。
もちろん、パスワードの定期変更が推奨されないのは、「十分な長さを持ったパスワードが設定されている」という前提があってのことです。
現在設定しているパスワードが単純(誕生日やイニシャルなど)な場合は、変更したほうがいいでしょう。
すでに十分な長さ(=セキュリティが担保できる複雑さ)があるパスワードを設定している人に、定期的な変更を呼びかけてしまうと、ユーザーは段々と、「生年月日と名前を組み合わせたもの」などの簡単なパスワードを設定するようになってしまうリスクがあるため、パスワードの定期変更は推奨されなくなりました。
パスワードはどうやって管理する?
複数のサービスでパスワードを設定する場合、忘れないようにと、同じ、または似たようなパスワードにしてしまいがちです。
しかし、実際にハッキングされてしまってはパスワードを設定している意味がありません。
そこで活用したいのが、パスワード管理ソフトです。パスワード管理ソフトを使えば、ソフトに複数のパスワードを記憶させておくことができ、いちいち自分で覚えておく必要がありません。
ブラウザのパスワード記憶機能もありますが、ブラウザのこの機能はセキュリティ観点から見ると、外部ツールなどを利用すれば保存されているパスワードが丸見えになってしまうなど、セキュリティ上のリスクが避けられないため、使用しないほうがよいでしょう。
パスワード管理ソフトは非常にたくさんの種類があるので、自分で気に入ったものを見つけて利用して見ることをおすすめします。
転ばぬ先の杖ではありませんが、ここで紹介したパスワードの基本や管理方法についてはもう一度見直しておきましょう。
<TEXT/尾身宗一郎>