パスワードの定期変更は危険なのはなぜ？変えたほうが良い場合も

「長期間おなじパスワードを使っています。パスワードを変更してください。」

こんなメッセージをネットバンクなどで見た人は多いのではないだろうか？

パスワードと言えば、定期的に変更するほうが安全だと言われていたのはご存知の通り。

ところが今、総務省の「国民のための情報セキュリティサイト」にはこう書かれている。

「定期的な変更は不要」？

一部の報道では、今までパスワードは定期的に変更したほうが安全だと周知してきた「総務省が方針転換」などと伝えているが、一体何があったのか？

そして安全なパスワードとはどんなものなのか？

まずは総務省サイバーセキュリティ課の担当者に聞いてみた。

「変更不要」は昨年秋から周知しています
ホウドウキョク：
いつから「定期的な変更は不要」ということにしたのか？

担当者：
「国民のための情報セキュリティサイト」は2003年に開設され、当時は「定期的な変更をすべき」と皆様に周知していました。
2016年12月になると、内閣サイバーセキュリティセンター（NISC＝ニクス）が、パスワードの「定期的な変更は不要」とする「情報セキュリティハンドブック」を公開しました。

担当者：
2017年6月には、米国国立標準技術研究所（NIST＝ニスト）から、サービスを提供する側がパスワードの定期的な変更を要求するべきではないというガイドラインが示されました。
これを受けて総務省は昨年の秋から「定期的な変更は不要」という周知をしています。

ホウドウキョク：
昨年秋！？最近変更したのではないのか？

担当者：
サイトの一部に以前の「定期的にパスワードを変更をすること」という表現が残っている箇所があり、そのためのメンテナンスは随時行っています。

今回のパスワードの件は、周知の内容を見直したということであり、会議などで方針を変えたわけではありません。
NISCが「情報セキュリティハンドブック」で公表したことを、アメリカの動向を踏まえて、総務省がサイトで更新し、周知をはかっているということとご理解いただければと思います。

目次

定期変更不要のパスワードとは？

では、定期的な変更は不要としたNISC（＝内閣サイバーセキュリティセンター）はどう考えているのか？
担当者に聞いてみた。

ホウドウキョク：
いつから「定期的な変更は不要」と方針を変えたのか？

担当者：
NISCが「定期的な変更は不要」という方針を示したのは、2016年の12月に初めて出した「情報セキュリティハンドブック」の完全版で、それ以前はパスワードに関して何か方針を示していたことはありません。

ホウドウキョク：
一般的に「変更すべき」と言われていたのに、なぜ「変更は不要」になったのか？

担当者：
最近は、例えば10ケタ以上のパスワードを設定しないと認めないシステムが出てきています。
そのような、十分な「パスワード長」が確保できる場合には「定期的な変更は不要」という方針です。

我々が「定期的な変更は不要」としたのは、どんなパスワードでも、なんでもかんでもいい、というわけではありません。
例えば4桁の数字など、非常に短いパスワードは、むしろ定期的な変更が必要になるケースだと思います。
あくまで「パスワード長」が十分確保できる場合において、「定期的な変更は不要」という方針を示したと、ご理解いただければと思います。

パスワードの定期的な変更を強制してしまうと、ユーザーは「名前＋生年月日」やあるいは「名前＋1234」など、簡単なパスワードを作ってしまいがちです。
それより複雑なパスワードを最初から設定してほしいということです。

ホウドウキョク：
パスワードの常識が大きく変わったが、今の「定期変更は不要」という指針もまたいつか変わるのではないか？

担当者：
それはそうですね。
セキュリティというのは、その時の利用状況や技術によって、あり方が変わっていくものなので、我々も社会の変化に合わせて最適な方法を考えていきたいと思っています。

引用元: https://headlines.yahoo.co.jp/hl?a=20180329-00010001-houdouk-life

みんなのコメント

名無しさん

パスワード、頻繁に変えると忘れてしまって、そのたびに再申請のサイトにはいるけど、それが偽物だったらかえって怖いよな

名無しさん

なんでもかんでもパスワード。
長くても短くてもすぐ忘れるし、全部同じじゃダメだからとちょっと変えて登録するとどうだったかわからなくなる。結局、面倒になって全部同じにしてる人が多いと思う。

ホットホッパー

銀行のキャッシュカードの暗証番号はずっと４桁やけど大丈夫なんかな？

名無しさん

学校でパスワードは不規則なものじゃなきゃいけない、使いまわしはだめ、メモしてもいけない、って教えられた時に「え、そんなことできる人いるの？」って思った。パスワードの設定を求められる場面が一体いくつあると思ってるんだよ笑

名無しさん

何か、重要な情報が落ちている気がする･･･
十分に長いパスワード･･･なんて通常覚えられない。なので、パスワードよりパスフレーズが良い、という話なら、他で読んだことがある。フレー(MASARERUTAKARAKONISHIKAMEYAMO、とか)なら覚えておける。まあ、システム側がある程度の長さに対応してくれないと駄目なんだけど。パスワードを何回も変えるより、長いパスフレーズを覚えてそれを変更せず使う方が安全性は高まる･･･そういう提言だったと思う。

METALMASTER

コンピューター社会なんか危ない。

ザイフトークンの力

現代はパスワード社会と言っても過言じゃない。ログインIDとパスワードに疲弊する人も多いやろ。俺もその1人。

名無しさん

結局アメリカが言ったからかい。

名無しさん

なんだかなー。

名無しさん

パスワードの使いまわしはダメ、誕生日など自分に関係のある番号はダメ、英数字記号を混ぜろ、8文字以上にしろ、定期的に変更しろ。
無理だろこれ。
一人あたりいくつのパスワードを管理していると思っているのか？

ummmm…

某クレジットカードのパスワード、未だに英数8桁のみ、記号も使えないんだが、、、ショボイにも程がある。

北野大地

ワンタイムパスワードはどうなんだろう

名無しさん

14桁の英数字記号パスワード。誕生日や住所などの関連性全くなし。自分しか知り得ない、想い出の配列。ロシアのパスワードチェッカーで目安途方もない年数が出た。変更など必要なし

ブウ

確率論的にはどちらも同じこと

名無しさん

パスワードなんて、その時財布に入ってるお札のシリアルに一文字加えりゃいいじゃねーか。

名無しさん

パスワード変更は忘れて起動しません。

名無しさん

ちなみに私の銀行のパスワードは
1234です

オープンβ

公務員に聞いてもなw

好きな言葉は自業自得

定期的に変えることによりパスワードを忘れて本人なのに結局入れずに再発行するという元も子もないことが起こる。

名無しさん

「パスワードを忘れた方へ」
何度、クリックしたか…。

名無しさん

理屈はわかるが妥協案に過ぎない。見出しは大衆の誤解を招く。

からちゃん

1番いけないのはパスワードを書いたメモを
PCのちかくに置くこと。
うちの会社は
PCには必ずパスワードをかけなさいと言われているが、同時に誰でも使えるように
全員分のパスワードを書いた紙をPCのところに置いて置くようにといわれている。笑
さらに大文字が打てない人がいるので
できるだけ簡単なパスワードにしなさい
と言われている。

狂

肝心の結果に至るまでの文章が、ダラダラと前置きが長い。先に結論だけ書いて、取材の細かい内容なんて、以下やり取りの詳細として後に書くだけで十分。
書いた人もOK出した人も大した奴じゃないな。

名無しさん

パスワード長すぎたりあれこれあって覚えられない。

名無しさん

条件付きね。

名無しさん

以前
絶対にバレる事の無いパスワードにして困った事が有りましたね
キーボードを適当にガチャガチャしたパスワードにした事ある。
毎回入力に困り必ず数回間違える
何せ
何の意味も持たない文字なんでね。
困った事にパスワード書いた紙なくして……
二度とやらない最強パスワード

名無しさん

NISC＝ニスク≠ニクス。
粗探しでゴメン。

ボロボロ

パスワードの覚え方教えてよ。