定期的にパスワードの変更を求めるサービスってありますよね?ネットバンキングとか。
パスワードを定期的に変更すると、セキュリティーは上がると思いますか?
変更前のパスワードから推測できるパスワードにしないで、ランダムで複雑な20文字以上のパスワードに変更するのであれば、ユーザーのセキュリティは上がります。
でも、こんな面倒なことをするユーザーが果たしてどのくらいいると思いますか?
ほとんどいないですよね。となると、多くのユーザーは、パスワードの変更を求められた際、「既存のパスワード」の語尾に数字を加えるなどして、パスワードの定期的な変更を乗り切ることになります。
今どき、2段階認証のアプリや、ワンタイムパスワードのカードがあれば、本人以外ログインできなくなるのにも関わらず、なんでパスワードを定期的に変更させるとか完全にイミフ。
パスワードを定期的に変更してセキュリティが上がるのであれば文句はありませんが、実態はユーザーの利便性がなくなるだけで、セキュリティは全く上がらないのが実情です。
今日のエントリーは、パスワードを定期的に変更するメリットとデメリットを紹介し、デメリットばかりで、パスワードを定期的に変更してもセキュリティは上がらないという話をします。
パスワードを定期的に変更するメリットとデメリット
パスワードを定期的に変更するメリットとデメリットを見ていきましょう。
メリット
パスワードを定期的に変更しても、ユーザーのメリットは何もありません。ユーザーにとって半年ごとにパスワード変えてくれとか、面倒くさいだけですから。
ネットバンキングなどのサービス提供者にとっては、顧客の口座がハッキングされた際に、「ユーザーに対して、セキュリティを担保するために定期的にパスワード変更を促していました」というアリバイ作りができるメリットはあるかもしれません。
デメリット
パスワードを定期的に変更する場合、デメリットの方が大きいですね。
パスワードを定期的に変更すると、パスワードが単純化してパターン化してしまいます。パスワードが単純化してパターン化するとは、次のようなことを指します。
- 語尾に数字を増やす
- 1 → I へというように、似た文字に置き換える
これじゃパスワードを変更する意味がありませんよね?
ユーザーは、定期的にパスワードを変更しろと促された場合、毎回全く異なるパスワードを設定するかと言うと、決してそんな面倒なことはしません。多くのユーザーが、パスワードを変更しなければウェブサービスが利用できないので、仕方なくパスワードを変更するのです。
パスワードを定期的に変更させるサービスがなくならない理由
なぜ、パスワードを定期的に変更させるサービスがなくならないのかと言うと、国の方針が影響しています。
2003年に総務省が開設した「国民のための情報セキュリティサイト」では、「定期的にパスワードを変更するように」と周知していた
パスワードを定期的に変更させるサービスがなくならないのは、2003年に総務省が開設した「国民のための情報セキュリティサイト」で、「定期的にパスワードを変更するように」と周知していた影響を受けているものと思われます。
安全なパスワードを作成し、パスワードの保管方法も徹底したとしても、同一のパスワードを長期間使い続けることは避けなければなりません。定期的にパスワードを変更するようにしましょう。
参考 安全なパスワード管理
今でもユーザーに定期的なパスワード変更を要求するネットバンキングは、以前の国の方針が頭から離れていないことが原因だと推察されます。
2016年以降、国の方針は「パスワードの定期的な変更は不要」へとシフト
2016年以降、国の方針は「パスワードの定期的な変更は不要」へとシフトしています。
今でも定期的にパスワード変更しているサービスは、さっさと頭を切り替えたほうがいいと思います。
2016年に登場したNICSの「情報セキュリティハンドブック」に、「パスワードを変更する必要はありません」を記載されたことで、国の方針は「パスワードの変更は不要」へとシフトしました。
利用するサービスによっては、パスワードを定期的に変更することを求められることがあります。しかし、実際にパスワードを破られアカウントを乗っ取られたり、サービス側から流出したりした事実がないのならば、パスワードを変更する必要はありません。
2017年11月、総務省が提供している「国民のための情報セキュリティサイト」でも、「パスワードの定期的な変更は不要」と記載される
2017年11月、総務省が提供している「国民のための情報セキュリティサイト」でも、「パスワードの定期的な変更は不要」と記載されました。NICS「情報セキュリティハンドブック」の焼き直しなので、文言は限りなく一致してるけどw
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
クラウドでパスワードを管理する時代に、定期的なパスワードの変更は時代遅れ
定期的なパスワードの変更なんて時代遅れもいいところです。
だって、今はクラウドでパスワードを保存する時代ですよ。しかも、ChromeもSafariも、ウェブサービスのアカウントを新規作成する際には、パスワードを自動生成してくれます。
サービスごとに異なるパスワードを自動生成して、クラウドにパスワードを保存しておけば、各サービスごとにバラバラのパスワードを利用できるので、定期的にパスワードの変更などしなくても問題ありません。
さいごに
以上、パスワードを定期的に変更しても、セキュリティは上がらない件についてお話しました。
多くのユーザーは、パスワードを変更しなければウェブサービスが利用できなくなるので、仕方なくパスワードを変更しているということを、サービス提供者は頭に入れておくべきですね。
パスワードを定期的に変更しても、セキュリティは上がらないのです。
ナレッジ