パスワードの定期的変更はデメリットが多い！

「インターネットではセキュリティの観点から定期的なパスワードの変更が必要！」と

思っておられる方が非常に多いと思います。またインターネットの各種サービスを

利用する際、ログイン画面上に”パスワードの変更”をうながすメッセージが繰り返し

表示されるケースも多く、それに従ってパスワードを頻繁に変更される方も多いと

思います。

そのような方々にとって最近の研究結果やガイドブックでは

　『パスワードの定期的変更はデメリットが多く、その必要はない』

との朗報が出されています。

 

定期的なパスワードの変更のデメリット：

　✓パスワードの使い回しを誘発する。

　　　複数Ｗｅｂサービスでパスワードを覚え直したり、メモを書き直したりする

　　　手間を避けるためパスワードの使い回しが発生しやすいようです。

　✓推測されやすいパスワードの変換を行ってしまう。

　　　米国のノースカロライナ大学では”３ヶ月でパスワード変更要求”の方針で

　　　過去、運用されており、その状況について研究結果が出されています。

　　　パスワード変更時に推測されやすい次の様な変換を行う人が非常に

　　　多かったようです。(＊１)

　　　　・数字を増やしていく。　　　　　　　　例：７を８に変える。

　　　　・文字を類似した記号に変える。　　　　例：aを＠に、Sを＄に変える。

　　　　・記号を追加したり、削除したりする。　例：###を##に変える。

　　　　・数字や記号の位置を変える。　　　　　例：先頭の記号を末尾に移す。

　　　　　　＊１）在籍していた学生・スタッフ１万のアカウントで使われていた

　　　　　　　　　５万１１４１個のパスワードを解析した結果です。

　　　その結果、過去にパスワードがわかっている場合、４１％は３秒以内に

　　　推測可能だったそうです。

 

最近のガイドブック：

　✓米国標準技術研究所(ＮＩＳＴ)の電子認証標準「ＳＰ８００－６３」：

　　　『Ｗｅｂサイトは利用者に対し、パスワードの定期的な変更を

　　　要求すべきでない』という１文が２０１７年６月の改訂版に追加されています。

　✓内閣サイバーセキュリティセンター(ＮＩＳＣ)の「ネットワークビギナーのための

　　情報セキュリティハンドブック」：

　　　このハンドブック内で『サービス提供側からパスワード変更を求められても

　　　パスワードの定期変更は必要なし』と断言されています。

 

ではパスワードの変更が必要ないのかというと、そうではありません。

以下の場合は危険性が高いので速やかにパスワードの変更を行う必要があります。

　・利用しているＷｅｂサービスサイトがパスワードを漏洩した場合

　・利用者に覚えのないログイン履歴があった場合

　・利用者がマルウェア(＊２)に感染した場合

　　　　　　＊２）不正かつ有害に動作させる意図で作成された悪意のある

　　　　　　　　　ソフトウェアや悪質なコード