パスワード
パスワード…。
日常生活で様々なものにパスワードって利用してますよね。
ネット通販、snsからスマホやパソコンのロック解除…。
このパスワード、セキュリティ対策として「定期的な変更」が推奨されていたていましたが、
昨年あたりに、その方針が180度転換されていたことをご存じでしょうか?
そもそも、なぜ「定期的にパスワードを変更すべき」と考えられていたのか?というと、
米国国立標準技術研究所 (NIST) が数年に一度改定している「電子的認証に関するガイドライン」に
「パスワードは定期的に変更すべき」と記載されていたことによるそうです。
上記ドキュメントが事実上の電子的認証のセキュリティに関する世界標準となっており、
日本政府を含む各国がこのガイドラインを参照に自国向けのガイドラインを作っているとのこと。
しかし、2017年6月に発表されたNISTの「電子的認証に関するガイドライン」から、
「サービス提供者はパスワードの定期変更を要求すべきでない」という記載に180度方針が変更されました。
方針転換の理由としては、
パスワードを定期的に変更させられるようにすると…
・文字列作成のルールがパターン化しやすい
・覚えやすい簡単なものにしてしまいやすい
・使い回しする可能性が高まる
といった要因があり、危険度を高めてしまうことによるそうです。
こういったリスクを減らすため、
「流出していないパスワードをわざわざ変更する必要はない」というのが方針転換の要因なのでしょう。
(確かに、パスワード変更を要求されると、パスワードの末尾番号をカウントアップ
とかしている人が多い印象があります。)
NISTのガイドライン改定から9カ月後の2018年3月に日本でも動きがあり
総務省の「国民のための情報セキュリティサイト」「安全なパスワード管理」にて、
パスワード定期変更について
「サービスを提供する側がパスワードの定期的な変更を要求すべきではない」
と方針が変更されています。
内閣サイバーセキュリティセンター(NISC)からも、
パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。
…とは言うものの、
今現在でも定期的にパスワード変更が要求される、
サービスがいっぱい巷にあふれてますよね…。
パスワードを定期的に変更しないと、
強度の高いパスワードを設定するのが必須となりますが
どういった点に気をつければ良いのでしょうか?
パスワードを作成する際、まず意識したいポイントは四つだそうです。
・ありがちな単語や文字列は避ける
「password」「qwerty」「12345」とか…
・名前や生年月日などの使用はなるべく避ける
・自分が忘れない要素を使う
・サービスごとに別のものを使い分ける
自分が忘れない要素を使う…
名前や生年月日などの使用はなるべく避けるべきですが、
一方で自分が忘れない要素を使うことも大切です。
超難解なパスワードを設定したとしても、
覚えられなければ意味がないですし忘れないようにPCに付箋で貼り付けなんてしたら、
もはやセキュリティの意味が…。
また覚えにくいパスワードを設定したことでサービスにログインできず、
アカウントがロックの恐れも懸念されます。
ロック解除には待ち時間や手間がかかるので、一度経験してしまうと、
それ以降は強度の高いパスワードの設定が面倒になってしまいます。
名前や生年月日以外で忘れない要素だと、
自分の趣味、好きな食べ物、スポーツ、映画、ペットの名前等々…。
個人情報以外で自分が忘れないものがオススメらしいですよ。
何かないか、考えてみるとよいかもしれませんね!