定期的なパスワード変更は不要！ その根拠と対策について

これまで、パスワード管理で推奨されていたのは、【パスワードを定期的に変更する】というものでしたが、総務省の「国民のための情報セキュリティサイト」で2018年3月に「定期的にパスワードを変更しましょう」という文言が削除されました。

「内閣サイバーセキュリティセンター」（NISC）が、2016年末に定期的な変更は不要と呼びかけたことを受け、総務省でも表記を改めたということです。
その結果、今では「定期的な変更は不要」と記載されています。

定期的なパスワード変更は不要！ ただし、〇〇に限る。

定期的なパスワード変更は不要ということにはなりましたが、これには条件があります。
その条件とは、【ただし、複雑で破れないパスワードを設定している場合に限る。】です。

定期的なパスワード変更は不要！に変わった要因

そもそもどうして定期的なパスワード変更が推奨されなくなったのでしょうか？
当然ですがそれにはちゃんとした理由がありまして、定期的なパスワードの変更では、実は以下の問題点があることが指摘されていました。

・パスワードの作り方がパターン化され、推測可能な簡単なパスワードが増える

・パスワードの使い回しが増える

個人差があるとはいえ、人間が覚えられることには限界がありますので、定期的なパスワードの変更を強要されることで、結果的に簡単なパスワードの設定が横行してしまったということなのです。

みなさんの中にもパスワードの末尾に一文字だけ足して、その文字だけを変更したり、適当な2つの文字を決めてそれだけを交互に変えるという手法を使った方がいるのではないでしょうか？

passwordA
↓
passwordB
↓
passwordC
・
・

もしくは、

passwordA
↓
passwordB
↓
passwordA
↓
passwordB

上記の繰り返し

つまり、定期的な変更をすることにより、危険が増してしまうという見解ですね。

複雑なパスワード　+　使い回さない を実現させる

話を【定期的なパスワード変更は不要！ ただし、複雑で破れないパスワードを設定している場合に限る。】に戻しますが、 複雑なパスワードであっても覚えられなければ意味がありません。

ですが複雑なパスワードで、且つ使い回しをしないというのは簡単ではないですよね。
そこで私がオススメする方法は、サービス名称にちなんだ文字列を基本パスワードに含めるという方法です。

基本パスワードとは、その名と通り基本となるパスワードです。

例えば nedia という文字を基本パスワードとした場合に、GMAILのパスワードはGnediaとする。といった具合です。

サービス名称の一文字目ですと、不安だという方は2文字目を足してMnediaとするのも良いでしょうし先頭ではなくnMediaというように2文字目に足すという風にするのも良いと思います。
　※この例ですと、足した文字だけ大文字なのですこぐ目立ちますが、あくまでわかりやすくしている例です。
とにかく自分でルールを作成してそれを徹底することで、複雑なパスワードであっても簡単に使い回しを防ぐことが出来ます。

※複雑なパスワードの条件

当然ですが、基本パスワードが単純なものではあまり意味がありませんので、下記に記す複雑なパスワードの条件を満たすもので設定することをオススメ致します。

(1) 名前などの個人情報からは推測できないこと

(2) 英単語などをそのまま使用していないこと

(3) アルファベットと数字が混在していること

(4) 適切な長さの文字列であること (目安としては10文字以上です)

(5) 類推しやすい並び方やその安易な組合せにしないこと

インターネット上のサービスが増えた今、パスワードの使い回しはそのうち一つのサービスでアカウント情報が漏えいした場合、連鎖的になりすまし被害が拡大する恐れがあります。
非常に危険ですので、ぜひ上記で紹介した方法を活用して、万が一の際にも被害を最小限で留められるようにしておきましょう。