ムダな努力はやめよう！パスワードは定期的に変更しても意味がない？！

ネットバンクを利用するときや、アプリケーションをダウンロードするときなど、私たちは、さまざまなシーンでIDとパスワードの入力を求められます。

このIDとパスワードがあることによって、本人確認を可能とし、安心して、インターネットを利用することができます。

しかし、IDとパスワードの流出による犯罪は後を絶ちません。気がつかないうちに、オンラインショップで数百万以上の不正利用されていたり、データを改ざんされてしまったりと、インターネットを悪用した事件が次々と報告されています。

ハッカーや犯罪組織から利用者を守っているIDとパスワードですが、一度流失してしまうと、その被害は甚大です。そのため、悪意をもったユーザーから、IDとパスワードを守るために、十分な対策をとることが求められます。

その1つが、パスワードの定期変更です。インターネットサービスを利用している中で、「パスワードが長期間変更されていません」と警告され、変更を求められたことはありませんか。

常識となりつつあった「パスワードの定期変更」ですが、たびたび不要説が持ち上がっています。

定期的なパスワード変更は、大切な個人情報を守り、犯罪に巻き込まれるリスクを低減できるのでしょうか。

パスワードを定期変更するメリット

悪意のあるユーザーからパスワードを守る方法としては、できるだけ長い文字列にすること、類推されやすいパスワード（12345、passwordなど）を使用しないこと、初期パスワードは必ず変更すること、パスワードの定期変更などが挙げられます。

IDとパスワードを入手した犯罪者は、所有者に気付かれないように不正アクセスを続けます。そのため、定期的にパスワードを変更し、漏洩したパスワードを無効にすることによって、不正アクセスを止めることができます。

定期変更は強制されてはいけない

アメリカの科学研究機関NIST（米国国立標準技術研究所）が発行する「デジタル認証のガイドライン」の中に、「利用者に対し、パスワードの定期変更を促すべきではない」という1文が記述されたことから、パスワードの定期変更不要説が再燃しています。

NISTは、パスワードは定期的に変更してはいけないと言っているのではなく、利用者に対して強制してはいけないとしています。

パスワードの定期変更を強いられた利用者は、覚えやすいパスワードを使用したり、2種類のパスワードを交互に使ったりするなどして手を抜こうとします。定期変更時に、パスワードの1文字だけを変えている利用者も多く、パターン化されていることも少なくありません。

これでは、悪意のあるユーザーに、すぐに見破られてしまい、結果的にセキュリティレベルが下がる場合もあります。

複雑なパスワードを設定し、かつ定期的に変更するように強制することは、利用者にとって大きな負担となります。パスワードを忘れて運用者に問い合わせをする機会も増え、運用側の負担も大きくなります。

パスワードの定期変更は、回避できるリスクよりも、デメリットの方が大きい可能性があります。定期的な変更は、必ずしも有効なセキュリティ対策とは言えないかもしれません。

パスワードを悪用されないための解決策

パスワードの流出を防ぐ有効な手段として、NISTは、64文字以上のパスフレーズを推奨しています。ランダムな文字列を64文字以上覚えるのは至難の業ですが、フレーズにすることによって、長くても覚えやすくなります。桁数が多いことによって、解読されにくいというメリットもあります。

パスワードを使用しない認証方式「FIDO（Fast IDentity Online）」も実用化に向けて動き出しています。指紋や音声によって利用者を認識し、認証に関するデータがインターネット上を流れることもないFIDOは強固なセキュリティを実現する技術として注目されています。

まとめ

パスワードの定期変更は、強制されることによって、利用者の負担が大きくなります。「パスワードの定期変更は間違いである」とは言えませんが、運用側の負担も大きく、負担が大きい割には効果は限定的であると言わざるを得ません。

悪意のあるユーザーは、常にパスワードを突破しようとしています。ITセキュリティに関するトレンドを把握し、対策や対応をアップデートしていくことが、今後ますます必要となっていくでしょう。

（画像はphoto ACより）