皆さんパスワードはいくつお持ちですか?
いくつかのパスワードを変更のたびに使いまわしていませんか?
今回総務省からパスワード変更について驚きの変更がありました。
今まで「パスワードを定期的に変更し、使い回さない」という事が
口酸っぱく言われてきましたが、なんと180度方向転換。
パスワード定期変更は不要になるようです。
なんで今更?何が起きたのか?
疑問に思いましたので調べてみました。
- 総務省の変更内容
- なぜパスワード定期変更は不要になったのか?
- 今後の対策
総務省の変更内容
総務省の「国民のための情報セキュリティサイト」に記載されていた変更箇所は下記です。
「パスワードを定期的に変更し、使い回さない」という記述を
「パスワードを複数のサービスで使い回さない(定期的な変更は不要)」と変更しました。
どうゆう事かというと
「パスワードを変更する必要はありません」という事です。
利用するサービスによっては、パスワードを定期的に変更することを求められることも
ありますが、実際にパスワードを破られアカウントが乗っ取られたり、
サービス側から流出した事実がなければ、パスワードを変更する必要はないようです。
今後、各サイトの方針も変わっていくかもしれませんね。
すでにYahooなどは方針を変えたようです。
パスワード変更って結構面倒だのでうれしいですね。
でも180度方向転換。なぜ今更なのでしょう?
セキュリティーは大丈夫なのか心配になりますよね。
なぜパスワード定期変更は不要になったのか?
理由は2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、
サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が
示されたからだそうです。
ちなみに定期的な変更をすることで、パスワードの作り方がパターン化し
簡単なものになることや、使い回しをするようになることの方が問題となります。
定期的に変更するよりも、機器やサービスの間で使い回しのない、
固有のパスワードを設定することが求められるようです。
私もいくつかのパスワードを使いまわししていました。
今後は強固なパスワード一つにしたいと思います。
今後の対策
今後の対策は強固なパスワードにすることでしょう。
強固なパスワードとは下記のようなパスワードです。
「Tr0ub4dor&3」のように不規則な文字列のパスワードよりも、
「correct horse battery staple」と単語を4つ並べて文字数を稼いだほうが
破られにくくなるそうだ。
皆さんも参考に単語を4つ並べて文字数を稼いだ強固なパスワードを作ってみてください。
あとは複数のサービスで使いまわさないことが大事だそうです。
