パスワードが60日間以上変更されていません――定期的にパスワードの変更を迫るこうした表示は、もはやあらゆるサイトやデバイスでお馴染みになっています。しかし総務省によると「パスワードは頻繁に変更しないほうがいい」そうです。
定期的な変更は逆にリスクを増大させかねない
常識的に考えると、パスワードの定期変更はリスクを軽減するうえで有効なように思えます。
しかし最近になって、総務省の運営する「国民のための情報セキュリティサイト」から、定期的なパスワード変更を促す文言が消えたそうです。2017年秋にも「定期変更は不要」との文言を追加しており、同省がむしろパスワードを固定するよう、国民に働きかけていることは明らかです。
背景には、2016年頃から増えてきた、定期変更はむしろリスクを高めることに繋がりかねないという専門家たちの判断があります。
日本経済新聞に専門家が語ったところによると「頻繁に変更を求められると、少ない字数で覚えやすい語句を使ったり、変更前と似た語句を使ったりするようになり、他人が類推しやすくなる」のだとか。つまり、自分の生まれた西暦にあやかってtanaka1990としていたところを、親の西暦であるtanaka1960にしたところで、有効どころか類推リスクを高めるだけだ、というわけです。
もちろん、パスワードをランダム生成する場合はその限りではないでしょうが、一般的にランダムに文字列を組み合わせるユーザーはほとんどいないでしょう。
ガイドラインに携わった人物も「後悔」
こうした「パスワードの常識」を見直す動きは、今回に始まったことではありません。
最近も、かつてアメリカ国立標準技術研究所の所長を務め、パスワードのガイドライン作成に関わったビル・バー氏が、「小文字のほかに、大文字や数字を組み合わせても大した意味がない」と発言、誤りを後悔していると述べ、大きな注目を集めました。
なお、バー氏も同様に、定期的な変更がむしろ攻撃のリスクを高めてしまう可能性があると指摘しています。
Source:日本経済新聞,WSJ
(kihachi)