「インターネットではセキュリティの観点から定期的なパスワードの変更が必要!」と
思っておられる方が非常に多いと思います。またインターネットの各種サービスを
利用する際、ログイン画面上に”パスワードの変更”をうながすメッセージが繰り返し
表示されるケースも多く、それに従ってパスワードを頻繁に変更される方も多いと
思います。
そのような方々にとって最近の研究結果やガイドブックでは
『パスワードの定期的変更はデメリットが多く、その必要はない』
との朗報が出されています。
定期的なパスワードの変更のデメリット:
✓パスワードの使い回しを誘発する。
複数Webサービスでパスワードを覚え直したり、メモを書き直したりする
手間を避けるためパスワードの使い回しが発生しやすいようです。
✓推測されやすいパスワードの変換を行ってしまう。
米国のノースカロライナ大学では”3ヶ月でパスワード変更要求”の方針で
過去、運用されており、その状況について研究結果が出されています。
パスワード変更時に推測されやすい次の様な変換を行う人が非常に
多かったようです。(*1)
・数字を増やしていく。 例:7を8に変える。
・文字を類似した記号に変える。 例:aを@に、Sを$に変える。
・記号を追加したり、削除したりする。 例:###を##に変える。
・数字や記号の位置を変える。 例:先頭の記号を末尾に移す。
*1)在籍していた学生・スタッフ1万のアカウントで使われていた
5万1141個のパスワードを解析した結果です。
その結果、過去にパスワードがわかっている場合、41%は3秒以内に
推測可能だったそうです。
最近のガイドブック:
✓米国標準技術研究所(NIST)の電子認証標準「SP800-63」:
『Webサイトは利用者に対し、パスワードの定期的な変更を
要求すべきでない』という1文が2017年6月の改訂版に追加されています。
✓内閣サイバーセキュリティセンター(NISC)の「ネットワークビギナーのための
情報セキュリティハンドブック」:
このハンドブック内で『サービス提供側からパスワード変更を求められても
パスワードの定期変更は必要なし』と断言されています。
ではパスワードの変更が必要ないのかというと、そうではありません。
以下の場合は危険性が高いので速やかにパスワードの変更を行う必要があります。
・利用しているWebサービスサイトがパスワードを漏洩した場合
・利用者に覚えのないログイン履歴があった場合
・利用者がマルウェア(*2)に感染した場合
*2)不正かつ有害に動作させる意図で作成された悪意のある
ソフトウェアや悪質なコード