こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティ勉強中です。
今回はタイトルに書いた通り、定期的なパスワード変更について書きたいと思います。(2019/9記)
先に結論から書くと、
定期的なパスワード変更の考え方は古いので変更する必要がない!
ということです。
ただし、何らかの形でパスワードが流出した場合はもちろん変更が必要ですが、基本的には、一度設定したパスワードは変更する必要はありません。
エビデンスはあるの?誰が言ったの?といった声が聞こえて来そうなので、その質問にも回答します。
エビデンス:有ります
誰が言ったの:総務省が言ってます!
詳細は以下のサイトを見てください。
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html
いかがだったでしょうか?定期変更は必要ないと言ってましたよね?
じゃあ、次に気になるのはどんなパスワードにすればいいの?ということでしょう。
上のURLではこのように言ってます。
「安全なパスワードを設定せよ」と、具体的には以下(引用)のようなものです。
(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと
(1),(2),(3),(5)の言いたいことはわかりますが、(4)の適切な長さって?具体的に教えて欲しいですよね。
ちょっと、その他の資料がないかを探したところ、内閣サイバーセキュリティセンター(NISC)が発行している「第1章 基本のセキュリティ~ステップバイステップでセキュリティを固めよう~」の10P目に推奨値が書いてました。
いや、同じ国なんだからら情報書いとけよ!って思いますよね。
推奨値としては、「英大文字小文字+数字+記号混じりで 10 桁以上」だそうです。
上記を参考にすると次のようなパスワードでしょうか。
例)
30da1Mi29#
かつ、もう一つありまして、「複数のサービスで使い回さないようにしましょう。」とあります。
こんな複雑なパスワードを複数のサービス(Google、yahoo、Twitter、Facebook、楽天など)で別々で覚えろということですか?
よし!手帳に書いておこう!
↑ダメです。落としたらすべて入られます。
よし!iPhoneのメモ帳に入れておこう!
↑パスワード入力するときに後ろから覗かれていたら入られます。
じゃあどうすればいいのか?
パスワード管理ツールを使いましょう。
パスワード管理ツールとは、マスターのパスワードだけを覚えておいて、それ以外はアプリに保存させるツールのことです。
有名なアプリだと以下のようなものが有名です。
私は、1Passwordを使ってます。
昔はパスワードの定期変更が常識でしたが、今ではそれが非常識となってきています。
皆さんの周りにもし、「パスワードの定期変更が必要だよ!」と言っている人がいたら是非、「その考え古いですよ。今はパスワードを10桁以上にして、使い回さない事が常識ですよ」取ってあげてください(笑)
以上です。ありがとうございました。
