パスワードは定期的に変更してはいけない

アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からパスワードを定期的に変えるのを推奨しないようにルールを変更するそうです。

『「パスワードは定期的に変更してはいけない」–米政府』

Screenshot of www.newsweekjapan.jp
⇒Newsweekの記事へ 
 
※記事が削除されている場合もありますのでご了承願います。

米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。

ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。

実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。

仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。

定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。

【Newsweek 配信】

少し古い記事(2017年5月23日)ですが、大変興味深い記事なので取り上げました。

ネット上には

様々な会員サイトがあり、それらのサイトでは会員ごとに(IDや)パスワードが要求されるため、結果的に一人の人が多くのIDとパスワードを管理することになります。

それだけでも大変ですが、更にそれらを定期的に変更する旨の通知が来ることも多く、そのため自ずと同じパターンで変更することが多くなります。

本来なら

全く別のパターンにすべきですが、そうするとサイトごとの違いが明白でなくなり、その結果管理がし難くなるため、なかなかパターンを変えるまでには至らないようです。

その結果ハッカーは、変えられる前と後のパスワードを比較することで、どのようなパターンであるかを解析でき、そこから類推すれば、その後に更新されるであろうパスワードまでも突き止められる可能性は高くなるものと思われます。

結局

同じパターンでのパスワード変更は、パスワードの作り方を教えるヒントを与えることにもなりかねませんので、報道にもあるように変更しない方が良いようです。

報道ではフレーズ(文言)形式のパスワードを推奨しているようですが、やはりこれに尽きるのかも知れません。

例えば

サイトにニックネームをつけて、「〇〇業界△△サイトの初めての合言葉-当分これでいく」などと文言形式でパスワードを考えると、文字数が長く、しかもゆるいパターン化ができるので、意外に忘れずにいられるような気がします。

まだまだ「定期的にパスワードを変えてください」メールが多いと思いますが、この報道のように長い、(ゆるいパターン化を施した)文言形式のパスワードを使い続けるのも一法かも知れませんね。