パスワードの定期的な変更は本当に効果があるのか?使い回しがダメな理由を誰も語らない!
デジタル時代でのセキュリティ意識は不可欠ですが、パスワードの定期的な変更は、本当に効果があるのか、少し疑問を感じています。
変更の効果や使い回しのリスクについて、わかりやすく解説しているフシが見当たりません。
ITは利便性を高めるものであるはずなのに、パスワードの管理や更新という面倒臭い作業を強いるのは、かなりな矛盾です。
特に情報リテラシーに自信がない層にとって、パスワードの管理でさえ難しいものとなっています。
そこで今回は、パスワードの定期的な変更の効果などについて、個人的な意見を書いてみます。
もくじ
パスワードの定期変更の効果
セキュリティに関する素朴な疑問として、パスワードの定期変更があります。
この定期的な変更の効果はズバリ限定的です。
まず、パスワードの定期変更が効果を発揮する条件を理解することが重要となります。
専門家筋は、定期変更が実際に効果的であると主張していますが、その際にはいくつかのポイントに留意する必要があります。
- パスワードの強度
長さ、複雑性、ランダム性を備えているべきで、強力なパスワードを使用する場合、頻繁な変更は必要ありません。 - 適切なパスワードの管理
定期変更よりも、異なるサービスやアカウントごとに一意のパスワードを設定し、定期的に変更することの方がセキュリティ向上に効果的です。 - パスワード変更頻度はリスクで考える
銀行のオンライン取引などを行う場合は、頻繁な変更が適切かもしれません。
しかし、ちょっとした娯楽レベルのアカウントにおいては、使い回し防止程度で済むのではないでしょうか。
要するに、パスワードは定期変更、強力なパスワードの作成、使い回しの防止で成り立ちます。
それを利用するアカウントのリスクに応じて、レベルに差をつけても良いのではないかということです。
そもそも、重要でないサービスの利用においては、途中で捨てても良いように、フリーのメールアドレスと比較的最低強度のパスワードで十分な気がします。
パスワード使い回しの落とし穴
パスワードの使い回しは、多くの人々が気に留めることなく行いやすいものです。
なぜパスワードの使い回しは危険なのか?
最も大きな理由の一つは、1つのアカウントが侵害された場合、他のアカウントにもアクセスされる可能性が高まることです。
例えば、同じパスワードを複数のウェブサイトやアプリで使用している場合、1つのサービスで情報漏洩が発生すれば、他のサービスも脆弱になります。
というのが定説ですが、パスワードが同じでも、ログインのIDが違っていれば容易に第三者が入り込めるはずがありません。
ゆえに個人的には、パスワードを使い回すなら、サービス登録時のメールアドレスを全て違うものにすることをやっています。
Yahooメールであれば、セーフティアドレスを作成できますから、かなり重宝しています。
しばらく同じパスワードを使いまわしてみましたが、ログインIDが異なっているためか、全くの無傷でした。
たまたま運よく突破されただけかもしれませんが、
- ログインID(アカウントID)
- パスワード
この2つがドンピシャ揃っていなければ侵入されません。
他のサービスで全く同じログインIDとパスワードを使い回さない限りは、比較的安全なのではないかと考えています。
自分でできるセキュリティ強化
基本的には「強いパスワードを作る」ことです。
作り方も自分が考えた意味のあるものではなく、自動生成が便利です。
大小の英字、数字、記号を組み合わせた10桁ほどのランダムなパスワードは、かなり強力なものと判断されます。
次にパスワードを頭で覚えようとしないことです。
これだけの情報社会ですから、個人が保有するアカウント、つまりログインIDやパスワードの数は10は下らないことでしょう。
紙に書くことも管理方法のひとつ。
その紙を手元に持って外出することはないから、意味が無いと言う人もいます。
だったら、ブラウザなどのパスワード管理機能を利用するしか方法がありません。
それでもブラウザごときに、パスワードなどを管理されたくないと言うのならば、二段階認証を駆使するしかないのです。
二段階認証はログインIDとパスワードだけでなく、SMSコード、指紋認証、セキュリティキーなどを通じて本人確認しますので、セキュリティを向上させることができます。
まとめ
「パスワードの定期的な変更は本当に効果があるのか?使い回しがダメな理由を誰も語らない!」というテーマで、パスワード管理や定期変更について書きました。
個人的にはパスワードの定期変更は、意味が無いと考えています。
強力なパスワードを作成しても、破られるときは破られます。
もしもの時は、破られる側のシステム上の問題なので、責任は自分にあるのではなくサービス側にあるものと考えているからです。
どのウェブサービスも不安なら、アナログ生活をするしかありません。
参照
Microsoft のスマートフォン認証アプリ | Microsoft Security