J-ONE TOPICS

ITツール

ITツール

パスワードの定期変更は時代遅れ?

パスワードの定期変更は時代遅れ?

近頃、パスワード管理の常識と思っていたことを覆される記事が多く見られます。

それというのも、アメリカの政府機関である企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版から定期的なパスワードの変更の推奨をやめる文言があるからです。

ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するそうです。
銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだといいます。

なぜでしょうか?

パスワードは連想されにくい複雑で長いものが安全ですが、定期的にパスワード変更を強制されると簡単で覚えやすいパスワードを設定してしまう傾向があるからです。また、せっかくパスワードを変えても、ABCDEFG1からABCDEFG2への変更のように、攻撃する側からはどちらでも同じのような変更をする場合が多いようです。

これでは、パスワードを変更する意味がないばかりではなく、忘れてしまった場合のリスクばかりが増えてしまってい意味がありません。

ちなみによく使われているパスワードベスト25は、右の表のとおりです。

また、現代ではパスワードクラック技術が向上しており、「英大文字・小文字・数字・記号を使った短いパスワード」よりも、「複数の英単語を単純に並べた文字数の多いパスワード」のほうが安全度が高いそうです。

単語を並べるのであれば、少々長くても覚えやすいですし、いいかもしれません。

ただし単語の順番を忘れないようにしないと。。。

 

 

ご質問・ご相談はお気軽にお問い合わせください