さまざまなところでログイン認証などに必要となるパスワード、従来の考え方では『パスワードの定期的変更』が推奨されてきました。
しかし、これに対して『パスワードの定期的な変更は不要』という考え方に変化してきています。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
総務省の『国民のための情報セキュリティサイト』にある、『IDとパスワード 設定と管理の在り方』を紹介するページでは、『パスワードを複数のサービスで使い回さない(定期的な変更は不要)』という文言が出てきます。
これは以前の考え方から変化していますが、何故そのように変化したのでしょうか?
パスワードの定期的な変更は不要
一部のインターネット記事を見ると、これはNISC(内閣サイバーセキュリティセンター)の見解を受けて変更されたようです。
しかし、NISCも他での見解を受けて方針を変更したのではないでしょうか?
約1年程前、米政府機関である『NIST(National Institute of Standards and Technology/アメリカ国立標準技術研究所』が発行する『電子認証に関するガイドライン』の新版からルールを変更するとされていました。
これは、ユーザーに新しいパスワードへの変更を求めてもいい加減に作る傾向にあり、特別な理由がない限りはパスワード変更を求めるべきではないという考え方が専門家の間でも増えてきたこともあります。
また、NISTでは定期的なパスワード変更を止める代わりとして、最低64文字でスペースも入れられる『パスフレーズ』を推奨するとしています。
では、パスワード設定はどのように行うか?
パスワード生成を自動で行ってくれるツールを使うと良いです。
このようなものを使えば、個人に関連する情報が一切含まれず、英字の大文字・小文字、数字、記号、文字数、強度などを選択しながらパスワード生成を行うことができますので、非常に解読されにくいものであると言えます。
(参考:パスワードジェネレータ/Norton by Symantec)
そして、これを適切に管理さえしていれば、推測されやすいパスワードの定期的な変更よりも適切なものであると言えるでしょう。