いつでも、どこでも、ママに寄り添う情報を

パスワードは定期的に変更しなくていい!?使ってはいけない「NGパスワード」とは #ママが知りたいネットの知識

※2018年5月時点の情報です。

Woman using mobile banking on smartphone

セキュリティ対策のため、一定の期間を過ぎたらパスワードを変更。これが常識になっていた人は多いのではないでしょうか。

しかし、実は今、総務省や内閣サイバーセキュリティセンター(NISC)ではパスワードの定期変更を推奨しない方針になっていることをご存じですか? 以前は定期変更が推奨されてきたのに、なぜ方針転換することになったのでしょうか?

パスワードを定期的に変更する必要はない、その理由は「パスワードのワンパターン化」

アメリカの国立標準技術研究所(NIST)では2017年に「サービス側がパスワードの定期変更を促すべきではない」とのガイドラインを発表していました。日本の総務省や内閣サイバーセキュリティセンターも、現在は同様の方針となっています。

パスワードの定期変更、その一番の問題は、パスワードの作り方がワンパターン化してしまうことです。慣れが災いし、パスワードがより簡単になってしまう傾向があるのだとか。

また定期的にパスワードを変更しているとそのうち面倒になり、複数のサービスで同じパスワードを使い回したくなる心理が働くかもしれませんが、それも危険。あるサービスから流出したアカウント情報を使って、他のサービスへのログインを試す不正な攻撃も存在します。複数のサービスで似たようなパスワードを使う人は、格好の攻撃対象になってしまうのですね。

セキュリティ強化を狙っての定期更新のはずが、逆にこのようにセキュリティが甘くなる状況に陥りやすいことがわかり、定期変更しない方針へ転換となったのです。

パスワードを変えるべきタイミングはないの?

パスワードは“定期”変更する必要はない、ということではありますが、パスワードを変更すべきタイミングは存在します。たとえばこんなケースです。

そもそもパスワードが弱い

推測しやすい、短い、簡単な文字・数字の組み合わせ、といったような“弱い”パスワードを使っているのに定期変更しないのであれば、単に弱いパスワードを放置しているだけの状況になってしまいます。定期更新をしないなら、最初から安全なパスワードを設定しておく必要があるのです。

アカウントを乗っ取られた

X(旧Twitter)やInstagramなどでアカウントを乗っ取られる事件はたびたび起こっています。乗っ取りに気づいたら早急にサービス側に連絡し、パスワード変更も含めしかるべき処置をとらなければなりません。

アカウント情報がサービス側から流出した

サービス側による「アカウント情報が流出した」と報道やユーザーへの連絡があれば、パスワードの変更が必要となります。

ただしアカウント流出事件に便乗したり、実際には起こっていない流出事件を勝手にでっちあげたりして、フィッシング詐欺をしかける人もいます。「パスワード再設定」に関するメールが来たら、まずそのメールが正しいかどうか疑ってください。

▼フィッシング詐欺メールについて、詳しくはコチラ

スマホも無関係ではない!フィッシング詐欺に引っかからないために #ママが知りたいネットの知識

「最悪なパスワードのランキング」に見る、パスワード設定でNGなこと

ただ「安全なパスワードを設定しましょう」と言われても、何が良いパスワードなのか、考えれば考えるほどピンとこないかもしれません。例を出されたとしても、次はその例が安全でなくなるかもしれませんし……。

こういうときは逆に、「してはいけないこと」を把握して、パスワード設定のヒントにしてみるのはいかがでしょうか?

アメリカのセキュリティ企業であるSplashData社が、「WORST PASSWORDS OF 2017 TOP 100」すなわち「2017年 最悪なパスワード TOP100」を発表しています。このランキングを参考に、何をしてはいけないのかを考えてみましょう。

<最悪なパスワードTOP100よりTOP30を抜粋>

1位:123456

2位:password

3位:12345678

4位:qwerty

5位:12345

6位:123456789

7位:letmein

8位:1234567

9位:football

10位:iloveyou

11位:admin

12位:welcome

13位:monkey

14位:login

15位:abc123

16位:starwars

17位:123123

18位:dragon

19位:passw0rd

20位:master

21位:hello

22位:freedom

23位:whatever

24位:qazwsx

25位:trustno1

26位:654321

27位:jordan23

28位:harley

29位:password1

30位:1234

(以下100位まで続く)

参考:splashdata「WORST PASSWORDS OF 2017 TOP 100」(PDF)

【NGなパスワード1】数字・文字の羅列

123456やqwertyといった数字・文字の羅列がランキング上位に。これらは長年トップの常連なのです。

【NGなパスワード2】簡単な単語

password, admin, welcomeといった簡単な単語も。そういえば筆者も、他の人がパスワードを設定した会社の共用パソコンで、一度はこれらを入力したことがありました……。

【NGなパスワード3】人気・流行のモノ

starwars(スター・ウォーズ)やjordan23(バスケットボール選手のマイケル・ジョーダンとその背番号)といった、長年人気のあるもの、あるいは一時期流行していた単語が使われやすい傾向にあるようです。

アメリカの調査のせいかアメリカで有名なものがランクインしていますが、日本で考えてみると、「アレ使いやすそう」という単語が思い浮かぶかもしれません。

【NGなパスワード4】短い

ランキング内では5文字程度のパスワードも見受けられます。長くすればそれだけ推測しにくいものになります。

以上パスワードに関する話題をお伝えしました。ただパスワードに関するこれらの情報は、2018年5月時点のものです。かつて推奨されていたパスワードの定期変更が覆ったように、インターネットの常識は日々変化していくもの。パスワードやセキュリティに関する情報の収集は、“定期的”にする方がよさそうです。

文・しらたまよ

参考:内閣サイバーセキュリティセンター(NISC)「ネットワークビギナーのための情報セキュリティハンドブック」

しらたまよの記事一覧ページ

関連記事

スマホも無関係ではない!フィッシング詐欺に引っかからないために #ママが知りたいネットの知識
迷惑メールは、パソコン、スマートフォンに関わらず、多くの方が見たことがあるのではないでしょうか? 「こんなのに引っかかる人なんていないでしょ」と思ってしまうような、変な日本語のメールのときもあ...
「インターネットの危険」を手軽に把握するための「おすすめX(旧Twitter)アカウント」5選 #ママが知りたいネットの知識
普段スマートフォンやパソコンで楽しんでいるインターネット。その裏では、国や企業を狙った「サイバー攻撃」という大規模なものや、一般の人を狙った攻撃など危険も存在します。それもX(旧Twitter...
子ども向けに見せかけた危険な動画、「エルサゲート」って知ってる? #ママが知りたいネットの知識
親の目が届かないところで動画を見せっぱなしにしていると、子どもが知らないうちに有害な動画を目にしてしまう可能性が指摘されるようになってきました。YouTubeや動画アプリなど、最近は大人も子どもも動画を楽しめる環境が充実。子どもはなぜか「おもちゃを開封する動画」や「見知らぬ兄弟姉妹がおもちゃで遊んでいる様子」なんかが好きですよね。子どもに静かにしてほしい場面では、動画を見せると効果てきめんで、親も実は頼りにしていたりして……。