「パスワードの定期的な変更は不要」と総務省が方針転換!?
突然ではございますが、皆様このニュースをご存知でしょうか??
総務省が運営する"国民のための情報セキュリティサイト" では今まで「パスワードを定期的に変更し、使い回さない」という事が口酸っぱく言われてきましたが、方針を180度変え「パスワード定期変更は不要」と変更したことが新聞等に取り上げられ話題となりました。2-3か月ごとの定期的な変更はかえって安全性を低下させる可能性があるようです。
今回はこの方針の背景についてお伝えします。
☆ 国民のための情報セキュリティサイトとは:総務省が運営するセキュリティーの重要性や具体的な対策を紹介する啓発サイトです。
www.soumu.go.jp/main_sosiki/joho_tsusin/security/
パスワードの定期的な変更が安全性を低下させる理由とは?
パスワードの定期的な変更を強制されると、設定者は「名前+生年月日」など決まったパスワードの小文字を大文字に変えたり、パスワードの最後に文字を追加したりするためパターン化し簡単なものになることや、使い回しをするようになる傾向が問題となったことが要因とされています。
実はこのようなちょっとしたパスワードの工夫を「変換」と呼び、ハッカーはこうした予想可能な変換を自分のスクリプトや、パスワード破りのルーティンに組み込むため定期的な変更はあまり効果的ではなく、かえってリスクが高まるとの意見が数年前より国内外の研究で増えていました。
安全なパスワードとは?
もちろん「定期的な変更は不要」の条件は、
設定しているパスワードが十分に長くて複雑なもの&他のサービスとの併用をしないこと が大前提です!
「国民のための情報セキュリティサイト」には「少なくとも英大文字小文字+数字+記号の組み合わせで10桁以上」が望ましいとの記述もあります。
その他にも、例えば関連性 のない複数(4つ以上)の単語や、他の人が思いついたり推測したりしないような「フレーズ」をパスワード に設定することも強固なパスワードとなります。
ちなみに危険なパスワードとしては、[自分や家族の名前、ペットの名前や車のナンバー]、
password、baseball、soccerなどといった[一般的な英単語]、aaaaなど同じ文字の繰り返しや12345などの[わかりやすい並びの文字列]、[短すぎる文字列]などが挙げられますのでご注意ください。
「パスワードの定期的な変更は不要」という方針転換を機に、
IT大手のヤフーもこれまでウェブサイト上でパスワードの定期的な変更を呼びかけていましたが、
近くその注意喚起を削除する予定とのことです。
皆様もこれを機に強固なパスワードを作ってはいかがでしょうか。
こちらのブログもご覧ください
マグマックス随一の汗かき!? そんな彼の昼飯事情です。
彼が通い詰めているラーメン屋さんを写真付きでご紹介。
