サービスによっては一定期間毎に変更を求められるパスワードですが、今後はそれもなくなっていくかもしれません。
総務省のサイトで記載を変更「パスワードの定期的な変更は不要」
金融系サービスなどで定期的にパスワードの変更を求められるのって、正直面倒くさいですよね。
同じパスワードを使うより定期的に変更したほうが、セキュリティ上良いという考えの上でこうなっていた訳ですが、どうやらそれももう不要になりそうです。
日本経済新聞によれば、総務省は「国民のための情報セキュリティサイト」でのパスワードに関する指針を変更したとのこと。
変更は3月1日に行われ、総務省の指針としてパスワードの「設定と管理のあり方」を改定し、以下の様にパスワードの管理に関して記載を変更したそうなんです。
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。
引用元:国民のための情報セキュリティサイト
※この変更はすでに、昨年末情報セキュリティハンドブックでも実施されていましたが、それに合わせる形での修正とのこと。
今までのパスワード変更はなんだったんだ…なんて思ってしまいますが、その理由は
定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。
引用元:国民のための情報セキュリティサイト
これは、昨年末カミアプでもお伝えしているんですが、アメリカ国立標準技術研究所(以下、NIST)が発行する「電子認証に関するガイドライン」でも示された見解に沿って見直されたもの。
今までは定期的に変更しようとしていましたが、冒頭でも書きましたが変更するのが面倒だったり覚えられないなどの理由から簡単なパスワードにしやすいということから来ているんですね。
確かに変更が面倒なので私もこんな感じで末尾だけ変えていたので、確かにこれだと変える意味がないと…。
- 最初のパスワード「hogehoge0」
- 1回目の変更「hogehoge1」
- 2回目の変更「hogehoge2」
- 3回目の変更「hogehoge3」
- ・・・
これ私だけじゃなくて、なんとなくあるあるな話が気がするんですが、身に覚えがあると言う方もいらっしゃるんじゃないでしょうか。
ではパスワードはどうするのが一番良いのかという話になる訳ですが、「できるだけ推測されにくく、ツールで割り出しにくいもの」が推奨されており、以下の様なポイントを抑えると良いとのこと。
- 名前などの個人情報からは推測できないこと
- 英単語などをそのまま使用していないこと
- アルファベットと数字が混在していること
- 適切な長さの文字列であること
- 類推しやすい並び方やその安易な組合せにしないこと
「適切な長さ」というのがどれくらいを指すのか分かりにくいのですが、パスワードの長さと解析に掛かる時間の調査結果によれば、少なくとも「アルファベット小文字/大文字 + 数字」で10桁以上にはしておきたいところです。
パスワードの長さと解析に掛かる時間
とは言っても定期的なパスワード変更を求めるサイトはまだまだありますし、パスワードの桁数や使える文字に制限がある場合もまだまだ見られます。
サービスのシステム変更は簡単ではないので、定期的な変更がなくなるのにはまだまだ時間が掛かりそうですが、まずは改めて自分のパスワードの見直しをしてみてはいかがでしょうか。
ライターのひとこと
自分はパスワード管理アプリで記号を含むランダムして使ってるので、逆にアプリが死んだらパスワードがまったく分からなくなりそうです…。
