総務省がパスワードの定期変更は推奨しないことに

当サイトの記事には広告が含まれます

IDとパスワードが漏えいした際に犯人によるログインを行わせないようにするために、各サイトごとにIDとパスワードの組み合わせを変えるとか、パスワードは定期的に変更するといった対策が推奨されてきました。

ところが、今日の日経新聞を見ていると、総務省がパスワードの定期変更は推奨しないことになったことが記事になっていました。3月1日付で総務省の「国民のための情報セキュリティサイト」から「定期的にパスワードを変更しましょう」という記載が消えたとのことです。さかのぼること、2017年秋には「定期変更は不要」という記載が追加されていて、サイト内で矛盾した状態になっていたようです。

総務省|国民のためのサイバーセキュリティサイト
総務省の政策(行政運営の改善、地方行財政、選挙、消防防災、情報通信、郵政行政など)、組織情報、所管法令、報道資料、会議資料等を掲載しています。

定期的なパスワード変更を求めると、どうしても行われがちなことが末尾に数字をつけて、パスワードの更新日が近づいてくると、1ずつカウントアップしていく方法です。そのカウンターの前に誕生日や覚えやすい単語などが使われていると、犯人によって辞書攻撃などで見破られてしまいます。

内閣官房のサイバーセキュリティセンターによれば、英語の大文字、小文字、数字、記号などを組み合わせて、少なくとも10桁にすることが好ましいとされています。また、規則性のある文字列や単語などを使わずに不規則で複雑なものが好ましいともしています。さらには、最近のブラウザーには必ずといって言いほど付いている、IDとパスワードの保存機能も使わない方が良いとしています。端末を他人に盗まれてしまった際にログインされる可能性があるためです。

ただ、サイトごとにパスワードを変えて、さらに不規則な文字列を設定することとなると、もはや頭の中で覚えておくことは、まず不可能になってしまいます。他人には推測されにくい自分なりの法則を作って各サイトで利用する等の対策が必要になります。このパスワードを考えるときの例などを掲載すると、また犯人に悪用されるといういたちごっこを繰り返すことになるので、自分なりに考えることがやはり大切なのでしょう。

サイトによっては二段階認証などのセキュリティ対策を追加でとることができる場合があるので、もしもそのサイトがオプションとして対応していたら、二段階認証を設定することをお勧めします。私自身は二段階認証を必ず使うようにしています。

これだけインターネットで個人情報を入力したり、銀行の取引をしたり、クレジットカードの情報を登録したりする場面が増えてくると、IDとパスワードで本人を特定するのは限界にきているようにも思います。最近のインターネットバンキングアプリではIDとパスワードの他に指紋認証を求めてくるものもありますが、このような策を一般化していく必要があるのでしょう。

コメント