近年では、特別な理由がない限り、
ユーザにパスワード変更を求めるべきではない
という考え方が増えてきました。
パスワードをたびたび変更することによって、
管理の手間が増えるだけでなく、
どうせまた変更しなければならないから、と
新しいパスワードをいい加減なものにしてしまうケースもあります。
そもそもなぜパスワードを変更しなければならないのでしょうか。
総務省による「国民のための情報セキュリティサイト」には
下記のように記載されています。
パスワードを定期的に変更しなければならない理由には、以下のようなものがあります。
他人に推測されにくいパスワードでも、ツールを使って長時間かければパスワードが割り出されてしまうこと
仮にパスワードが割り出されてしまっても、なりすましなどの被害を受け続けることを避けることができること
『安全なパスワード管理』国民のための情報セキュリティサイト (総務省)
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html
まず 1 点目について、
「ツールを使って長時間かければ割り出される」というのは、
『ブルートフォースアタック (総当たり攻撃)』などのことを指していますが、
近年のパソコンの性能やアルゴリズムの向上により、
解析速度は飛躍的に向上しています。
a ~ z のアルファベットのみ 8 桁のパスワードの場合、
たった 46 秒で突破されてしまいます。
セキュリティ調査レポート Vol.3/パスワードの最大解読時間測定 | ディアイティ
http://www.dit.co.jp/service/security/report/03.html
英字と数字を組み合わせたパスワードであっても、
『辞書攻撃』や『レインボークラック』という別の手法によって
すぐに解読される可能性があります。
何度パスワードを変えようが、
ハッカーの標的にならなくなるわけではありません。
そして 2 点目について、
『なりすましなどの被害を受け続けることを避ける』とありますが、
例えば銀行の暗証番号などは割り出されてしまえば、
お金を引き出されておしまいです。
他にオンラインのサービスなどであっても、
ハッカーによってパスワードを変更されてしまった場合、
もはやこちらから変更をすることはできなくなります。
そもそも『すでに突破されている』状態を想定した対策など
手遅れでしかありません。
それよりも『突破されない』対策を講じるべきではないでしょうか。
このようにパスワードの変更の手間に対して、
メリットはこの上なく希薄です。
パスワードの変更をしても、
管理の手間が増える分、今度は情報の適切な保管や記憶が大変で、
その分余計にパスワード漏えいのリスクが高まります。
しっかりとしたパスワードを一つ作って、
それを使い続けつつも、
同じパスワードを他で使わないようにしていくのが
最も効果的な運用方法になります。
様々なサイトでそれぞれ別々のパスワードにすると
覚えるのが難しいという場合、
例えば自分のパスワードを「example」とした場合、
facebook の場合 : examplefb
twitter の場合 : exampletw
というような運用の仕方が簡単です。
ぜひお試しください。
※ そのまま「example」を使うのは絶対にダメです。
