まだパスワードの定期変更なんて無意味なことやってるの?

先日、GetMoney!にログインしようとしたところ、セキュリティ対策ということで強制的にパスワードを変更させられてしまいました。

(変更させられたときのスクリーンショットは撮り忘れました…)

getmoney-passwd

これについて思うところがあるので、パスワードの定期的な変更について書いてみたいと思います。

パスワードを定期的な変更の必要性とは?

いろいろなサイトでログイン時のパスワードの定期的な変更は必要であるといろいろなところで目にしていると思います。

企業によってはパスワードを数ヶ月に強制的に変更させたうえ、直近○回以内に使ったパスワードは使用不可という厳しいところもあります。これほど厳しいと、ユーザは覚えきれなくなってしまって、紙にメモしてしまったりしまいます。最近は少なくなりましたが、ディスプレイにポストイットパスワードを貼っている人もいますよね…。これではかえってセキュリティ的に弱くなってしまい本末転倒です。

それではどうしてパスワードを定期的に変更しろというのでしょうか?

例えば、警視庁の「IDとパスワードの適切な管理」には

http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku412.htm

追記: 上記Webページがなくなり削除されたようです

○ パスワードは定期的に変更する

長期間利用しているパスワードは破られる可能性もあるため、パスワードを定期的に変更することでセキュリティを高めることができます。

と書かれています。

これは完全に間違っているとはいえませんが、正解とまでは言えません。

パスワードを盗もうとする人は何ヶ月もかけてパスワードを破ったりしません!

もちろん何ヶ月もかけて破る価値のあるパスワードであれば別ですが、個人単位でそういう攻撃をうけることは想定する必要はありません。ただし、企業の場合は別です。1つのパスワードを破ることで何千万円や何億円の価値がある企業秘密の情報を得られる場合があるからです。

ここまでをまとめると、パスワードの定期変更は無意味であるどころか危険性も含んでいるということです。

それならどうすればいいの?

定期変更は必要ないということなので、実際にはこれらが重要になります。

  • 長いパスワードを使用する(最低8文字以上、長いほどよい)
  • Webサイト毎に異なるパスワードを使用する
  • 二段階認証(多要素認証)を利用する
  • パスワードが漏れてしまったかも?と思ったらすぐにパスワードを変更する

当たり前すぎて書いていませんが、他人に教えない(共用しない)とか、紙にメモらないとかもです!今時のPCであれば7文字以下のパスワードはすぐに解析されてしまうので、ダメです。

Webサイト毎に異なるパスワードを使用する

不正アクセスをしようとする悪い人(クラッカー)はあるWebサイトのパスワードを盗み出すことができたら、そのIDやパスワードで他のWebサイトにログインできなかを試します。

盗みだしたら当然すぐに他のWebサイトで試すため、これはパスワードの定期変更で防ぐことは極めて困難です。

そのため、Webサイト毎に異なるパスワードを使用することが重要です。

しかし、多い人であれば何十というWebサイトのパスワードを覚えておくことは困難です。そこで通常はいくつかのパスワードを使い分けることになるでしょう。

確実に別々のパスワードとしないと行けないのはお金が絡むWebサイトです。特に銀行のインターネットバンキングなどは気をつける必要があります。また、会社で使用するパスワードも個人のものとは使い分けましょう。

二段階認証(多要素認証)を利用する

最近は二段階認証(多要素認証)を利用できるところが増えてきたので、ご存知の方も多いと思います。

通常のIDとパスワードでの認証に加えて、登録されているメールアドレスにパスワードの書かれたメールを送る、等により本人確認を強化したものです。

メールを送る以外に銀行などでよくある携帯電話アプリでワンタイムパスワードを表示するなどもあります。
http://direct.bk.mufg.jp/secure/otp/
これらは非常に面倒なのですが、利用できるWebサイトでは絶対に利用してください

パスワードを盗もうとする人に対してとても有効です。

パスワードを盗もうとするとき、二段階認証を設定されていると盗むのがとても大変なのでたいてい諦めてくれます。二段階認証を設定していない簡単に盗めそうな人から盗みます。

例えるなら、自転車の鍵を2重ロックにしましょう、というのと同じです。

最近だと銀行、Google、Twitterなど多くのところで利用できますよね。

まとめ

パスワードの定期的な変更は多くの場合、無意味です。

パスワードは以下のことを守ることでかなりセキュリティを高めることができます。

  • 長いパスワードを使用する(最低8文字以上、長いほどよい)
  • Webサイト毎に異なるパスワードを使用する
  • 二段階認証(多要素認証)を利用する
  • パスワードが漏れてしまったかも?と思ったらすぐにパスワードを変更する

もちろん、これだけで十分であるというわけではありませんが、これらすら守れていない人は大勢いると思いますので気をつけましょう。

コメント