ムダな努力はやめよう!パスワードは定期的に変更しても意味がない?!
schedule 2018/01/29 refresh 2023/11/09
ネットバンクを利用するときや、アプリケーションをダウンロードするときなど、私たちは、さまざまなシーンでIDとパスワードの入力を求められます。
このIDとパスワードがあることによって、本人確認を可能とし、安心して、インターネットを利用することができます。
しかし、IDとパスワードの流出による犯罪は後を絶ちません。気がつかないうちに、オンラインショップで数百万以上の不正利用されていたり、データを改ざんされてしまったりと、インターネットを悪用した事件が次々と報告されています。
ハッカーや犯罪組織から利用者を守っているIDとパスワードですが、一度流失してしまうと、その被害は甚大です。そのため、悪意をもったユーザーから、IDとパスワードを守るために、十分な対策をとることが求められます。
その1つが、パスワードの定期変更です。インターネットサービスを利用している中で、「パスワードが長期間変更されていません」と警告され、変更を求められたことはありませんか。
常識となりつつあった「パスワードの定期変更」ですが、たびたび不要説が持ち上がっています。
定期的なパスワード変更は、大切な個人情報を守り、犯罪に巻き込まれるリスクを低減できるのでしょうか。
パスワードを定期変更するメリット
悪意のあるユーザーからパスワードを守る方法としては、できるだけ長い文字列にすること、類推されやすいパスワード(12345、passwordなど)を使用しないこと、初期パスワードは必ず変更すること、パスワードの定期変更などが挙げられます。
IDとパスワードを入手した犯罪者は、所有者に気付かれないように不正アクセスを続けます。そのため、定期的にパスワードを変更し、漏洩したパスワードを無効にすることによって、不正アクセスを止めることができます。
定期変更は強制されてはいけない
アメリカの科学研究機関NIST(米国国立標準技術研究所)が発行する「デジタル認証のガイドライン」の中に、「利用者に対し、パスワードの定期変更を促すべきではない」という1文が記述されたことから、パスワードの定期変更不要説が再燃しています。
NISTは、パスワードは定期的に変更してはいけないと言っているのではなく、利用者に対して強制してはいけないとしています。
パスワードの定期変更を強いられた利用者は、覚えやすいパスワードを使用したり、2種類のパスワードを交互に使ったりするなどして手を抜こうとします。定期変更時に、パスワードの1文字だけを変えている利用者も多く、パターン化されていることも少なくありません。
これでは、悪意のあるユーザーに、すぐに見破られてしまい、結果的にセキュリティレベルが下がる場合もあります。
複雑なパスワードを設定し、かつ定期的に変更するように強制することは、利用者にとって大きな負担となります。パスワードを忘れて運用者に問い合わせをする機会も増え、運用側の負担も大きくなります。
パスワードの定期変更は、回避できるリスクよりも、デメリットの方が大きい可能性があります。定期的な変更は、必ずしも有効なセキュリティ対策とは言えないかもしれません。
パスワードを悪用されないための解決策
パスワードの流出を防ぐ有効な手段として、NISTは、64文字以上のパスフレーズを推奨しています。ランダムな文字列を64文字以上覚えるのは至難の業ですが、フレーズにすることによって、長くても覚えやすくなります。桁数が多いことによって、解読されにくいというメリットもあります。
パスワードを使用しない認証方式「FIDO(Fast IDentity Online)」も実用化に向けて動き出しています。指紋や音声によって利用者を認識し、認証に関するデータがインターネット上を流れることもないFIDOは強固なセキュリティを実現する技術として注目されています。
まとめ
パスワードの定期変更は、強制されることによって、利用者の負担が大きくなります。「パスワードの定期変更は間違いである」とは言えませんが、運用側の負担も大きく、負担が大きい割には効果は限定的であると言わざるを得ません。
悪意のあるユーザーは、常にパスワードを突破しようとしています。ITセキュリティに関するトレンドを把握し、対策や対応をアップデートしていくことが、今後ますます必要となっていくでしょう。
(画像はphoto ACより)