パスワードは定期的に変更しなくていい!?使ってはいけない「NGパスワード」とは #ママが知りたいネットの知識
セキュリティ対策のため、一定の期間を過ぎたらパスワードを変更。これが常識になっていた人は多いのではないでしょうか。
しかし、実は今、総務省や内閣サイバーセキュリティセンター(NISC)ではパスワードの定期変更を推奨しない方針になっていることをご存じですか? 以前は定期変更が推奨されてきたのに、なぜ方針転換することになったのでしょうか?
パスワードを定期的に変更する必要はない、その理由は「パスワードのワンパターン化」
アメリカの国立標準技術研究所(NIST)では2017年に「サービス側がパスワードの定期変更を促すべきではない」とのガイドラインを発表していました。日本の総務省や内閣サイバーセキュリティセンターも、現在は同様の方針となっています。
パスワードの定期変更、その一番の問題は、パスワードの作り方がワンパターン化してしまうことです。慣れが災いし、パスワードがより簡単になってしまう傾向があるのだとか。
また定期的にパスワードを変更しているとそのうち面倒になり、複数のサービスで同じパスワードを使い回したくなる心理が働くかもしれませんが、それも危険。あるサービスから流出したアカウント情報を使って、他のサービスへのログインを試す不正な攻撃も存在します。複数のサービスで似たようなパスワードを使う人は、格好の攻撃対象になってしまうのですね。
セキュリティ強化を狙っての定期更新のはずが、逆にこのようにセキュリティが甘くなる状況に陥りやすいことがわかり、定期変更しない方針へ転換となったのです。
パスワードを変えるべきタイミングはないの?
パスワードは“定期”変更する必要はない、ということではありますが、パスワードを変更すべきタイミングは存在します。たとえばこんなケースです。
そもそもパスワードが弱い
推測しやすい、短い、簡単な文字・数字の組み合わせ、といったような“弱い”パスワードを使っているのに定期変更しないのであれば、単に弱いパスワードを放置しているだけの状況になってしまいます。定期更新をしないなら、最初から安全なパスワードを設定しておく必要があるのです。
アカウントを乗っ取られた
X(旧Twitter)やInstagramなどでアカウントを乗っ取られる事件はたびたび起こっています。乗っ取りに気づいたら早急にサービス側に連絡し、パスワード変更も含めしかるべき処置をとらなければなりません。
アカウント情報がサービス側から流出した
サービス側による「アカウント情報が流出した」と報道やユーザーへの連絡があれば、パスワードの変更が必要となります。
ただしアカウント流出事件に便乗したり、実際には起こっていない流出事件を勝手にでっちあげたりして、フィッシング詐欺をしかける人もいます。「パスワード再設定」に関するメールが来たら、まずそのメールが正しいかどうか疑ってください。
▼フィッシング詐欺メールについて、詳しくはコチラ
スマホも無関係ではない!フィッシング詐欺に引っかからないために #ママが知りたいネットの知識
「最悪なパスワードのランキング」に見る、パスワード設定でNGなこと
ただ「安全なパスワードを設定しましょう」と言われても、何が良いパスワードなのか、考えれば考えるほどピンとこないかもしれません。例を出されたとしても、次はその例が安全でなくなるかもしれませんし……。
こういうときは逆に、「してはいけないこと」を把握して、パスワード設定のヒントにしてみるのはいかがでしょうか?
アメリカのセキュリティ企業であるSplashData社が、「WORST PASSWORDS OF 2017 TOP 100」すなわち「2017年 最悪なパスワード TOP100」を発表しています。このランキングを参考に、何をしてはいけないのかを考えてみましょう。
<最悪なパスワードTOP100よりTOP30を抜粋>
1位:123456
2位:password
3位:12345678
4位:qwerty
5位:12345
6位:123456789
7位:letmein
8位:1234567
9位:football
10位:iloveyou
11位:admin
12位:welcome
13位:monkey
14位:login
15位:abc123
16位:starwars
17位:123123
18位:dragon
19位:passw0rd
20位:master
21位:hello
22位:freedom
23位:whatever
24位:qazwsx
25位:trustno1
26位:654321
27位:jordan23
28位:harley
29位:password1
30位:1234
(以下100位まで続く)
参考:splashdata「WORST PASSWORDS OF 2017 TOP 100」(PDF)
【NGなパスワード1】数字・文字の羅列
123456やqwertyといった数字・文字の羅列がランキング上位に。これらは長年トップの常連なのです。
【NGなパスワード2】簡単な単語
password, admin, welcomeといった簡単な単語も。そういえば筆者も、他の人がパスワードを設定した会社の共用パソコンで、一度はこれらを入力したことがありました……。
【NGなパスワード3】人気・流行のモノ
starwars(スター・ウォーズ)やjordan23(バスケットボール選手のマイケル・ジョーダンとその背番号)といった、長年人気のあるもの、あるいは一時期流行していた単語が使われやすい傾向にあるようです。
アメリカの調査のせいかアメリカで有名なものがランクインしていますが、日本で考えてみると、「アレ使いやすそう」という単語が思い浮かぶかもしれません。
【NGなパスワード4】短い
ランキング内では5文字程度のパスワードも見受けられます。長くすればそれだけ推測しにくいものになります。
以上パスワードに関する話題をお伝えしました。ただパスワードに関するこれらの情報は、2018年5月時点のものです。かつて推奨されていたパスワードの定期変更が覆ったように、インターネットの常識は日々変化していくもの。パスワードやセキュリティに関する情報の収集は、“定期的”にする方がよさそうです。