2018年3月21日

定期的なパスワード変更はむしろ危険|総務省の情報が話題に


企業では今や常識ともいえる「定期的なパスワード変更」

ところが、総務省の「国民のための情報セキュリティサイト」にこのような記述があります。

”利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。”

この内容について、少し解説していきます。

人は面倒なことを避ける生き物なので


パスワードの定期変更、毎回パスワードを考えるのも覚えるのも面倒ですよね。

そうするとどうしてもメモに残しておくとか、簡単なフレーズにしようという動機につながっていきます。

パスワードをメモに残せば盗まれやすくなりますし、簡単なパスワードでは見破られる可能性が高まります。

セキュリティの高いパスワードを運用したければ、せめて変更の手間を省いてあげるべきなのですね。

攻撃者の行動から考える


そもそも、パスワードのかかったところを突破してこようとする攻撃者にとってパスワードの定期変更は意味がありません。

常にランダムな文字列を大量に試したり、パソコンを乗っ取ってパスワードを打ち込んだ記録を盗んだりして目的を達成するのです。

定期的に変更するよりももっとほかにやるべきことがあるわけですね。