パスワードの定期的変更について
おもしろいネットニュースを見つけました。
情報源: 「パスワードの定期的な変更を押しつけるのはやめよう」という話が英米の政府機関レベルで盛んに(山本一郎) – 個人 – Yahoo!ニュース(2021/3/2リンク切れ)
要するに、パスワードを定期的に変更しても、全然セキュリティー対策にはなっていないんじゃないかという話。
なんだかなあ。
たまに、定期的にパスワードを変更するように催促してくるサイトがあります。
例えば、FC2なんかは、現在個人的にサインインすると、長期的にパスワードが変更されてないから、変更しろよ的な画面になります。
でもにいつも不思議に思っていました。
本当にパスワードを定期的に変更して、セキュリティーが高まるのか・・・・?
さて、横道にそれますが、パスワードのセキュリティーがまだまだ話にものぼらない大昔。
連番(1111)だとか、誕生日をパスワードにしている人が多くいました。
今でもそうでしょうけれど。
それが段々セキュリティーの問題に目が向けられ始め、アルファベットと数字の組み合わせなければならないとか、文字数も4文字から段々増えたり、アルファベットも大文字と小文字を混ぜなければならないとか・・・・・
こういうのは、感覚的によくわかるのです、セキュリティー対策として。
でも、パスワードというと、いまだに数字4桁のままというところも、結構あります。
そんなところが、パスワードの変更を催促してきて、意味があるのでしょうか?
この会社、90日でパスワードの変更を要求してきてますけど・・・・・
要するに何が言いたいのかというと、定期的なパスワードの変更よりも、まず最初にパスワードを複雑にしろよという点の方が先かなと。
数字4桁とか数字8桁とかでOKのところはだめでしょうと思うわけです。
さて、話はもとに戻り、何故定期的にパスワードを変更することが、セキュリティー対策につながらない可能性があるかという話ですが・・・・・
その理由は、おおむねこんな所のようです。
①何度もパスワードを変更すると、新しいパスワードを忘れないようにするため、覚えやすい文字列を設定しがちで、パスワードの強度がどんどん弱くなっていく
②パスワードの定期変更では「Password1」といった具合に末尾に数字を追加するなど、その規則性が容易に推測できる
③そもそもパスワードの定期変更により、古いパスワードも新しいパスワードも何度も打ち込まなければならないし、またその変更の履歴からパスワードを推測しやすくするために、逆にセキュリティー弱まる
いや、全くその通り、結局覚えられるパスワードにしようなんて考える段階で、セキュリティーは弱くなっています。
ランダムな文字列であれば、それをパソコンに記憶させるようにするでしょう。
結局のところ、パスワードのセキュリティーなんて、ある一定以上は強度を高められないと思うわけです。
じゃあどうするかって。
結局はパスワードを盗まれてもいいように、定期的に自分で、チェックするしかないわけと思うのです。
特にお金関係のサイト、銀行・クレジットカードについては、定期的に自分で内容をチェックすることの方が、パスワードを頻繁に変更したり、難しいパスワードを考えることより、また、それだけで安心してしまうより、コスト的にも見合うと思うのは、私だけでしょうか?
情報源: パスワードの定期的変更がセキュリティ対策として危険であることにGoogleとIPAは気づいている | まるおかディジタル株式会社