定期的なパスワード変更はもう古い?今の常識はコレだ!

Pocket

こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティ勉強中です。

今回はタイトルに書いた通り、定期的なパスワード変更について書きたいと思います。(2019/9記)

先に結論から書くと、

定期的なパスワード変更の考え方は古いので変更する必要がない!

ということです。

ただし、何らかの形でパスワードが流出した場合はもちろん変更が必要ですが、基本的には、一度設定したパスワードは変更する必要はありません。

エビデンスはあるの?誰が言ったの?といった声が聞こえて来そうなので、その質問にも回答します。

エビデンス:有ります

誰が言ったの:総務省が言ってます!

詳細は以下のサイトを見てください。

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

いかがだったでしょうか?定期変更は必要ないと言ってましたよね?

じゃあ、次に気になるのはどんなパスワードにすればいいの?ということでしょう。

上のURLではこのように言ってます。

「安全なパスワードを設定せよ」と、具体的には以下(引用)のようなものです。

(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと

(1),(2),(3),(5)の言いたいことはわかりますが、(4)の適切な長さって?具体的に教えて欲しいですよね。

ちょっと、その他の資料がないかを探したところ、内閣サイバーセキュリティセンター(NISC)が発行している「第1章 基本のセキュリティ~ステップバイステップでセキュリティを固めよう~」の10P目に推奨値が書いてました。

いや、同じ国なんだからら情報書いとけよ!って思いますよね。

推奨値としては、「英大文字小文字+数字+記号混じりで 10 桁以上」だそうです。

上記を参考にすると次のようなパスワードでしょうか。

例)

30da1Mi29#

かつ、もう一つありまして、「複数のサービスで使い回さないようにしましょう。」とあります。

こんな複雑なパスワードを複数のサービス(Google、yahoo、Twitter、Facebook、楽天など)で別々で覚えろということですか?

よし!手帳に書いておこう!

↑ダメです。落としたらすべて入られます。

よし!iPhoneのメモ帳に入れておこう!

↑パスワード入力するときに後ろから覗かれていたら入られます。

じゃあどうすればいいのか?

パスワード管理ツールを使いましょう。

パスワード管理ツールとは、マスターのパスワードだけを覚えておいて、それ以外はアプリに保存させるツールのことです。

有名なアプリだと以下のようなものが有名です。
私は、1Passwordを使ってます。

1Password(ワンパスワード)

Last Pass(ラストパス)

昔はパスワードの定期変更が常識でしたが、今ではそれが非常識となってきています。

皆さんの周りにもし、「パスワードの定期変更が必要だよ!」と言っている人がいたら是非、「その考え古いですよ。今はパスワードを10桁以上にして、使い回さない事が常識ですよ」取ってあげてください(笑)

以上です。ありがとうございました。

Pocket

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です