総務省の方針転換
2018年3月27日の日経に、インターネット利用時のパスワードの定期変更は不要であると、従来の方針を変更したという記事がありました。
- 米国などでは、2016年ごろから、「定期変更を要求しない方がいい」という意見が高まってきた
- 日本では内閣官房の内閣サイバーセキュリティセンター(NISC)が「必要なし」との見解を示した
- 2018年3月1日から、総務省の「国民のための情報セキュリティサイト」から、「定期的にパスワードを変更しましょう」の記載がなくなる
- 頻繁にパスワード変更を求めると、少ない字数で覚えやすい語句を使ったり、変更前と似た語句を使ったりするようになり、他人が類推しやすい
- さらに、多数の機器やサービスでの定期変更が面倒になり、同じパスワードを使い回してしまい、芋づる式に個人情報を盗まれるリスクが高まる
とあります。
そして、NISCによると、望ましいパスワードとは、
- 英語の大文字と小文字、数字、記号を組み合わせ、すくなくとも10桁にするのが望ましい
とあります。
コメント
この記事は、従来、正しいとされてきたことが、ひっくり返ったという意味で面白いと思いました。
アメリカのコンピュータの専門家が、どのような議論をしていたのかは分かりませんが、アメリカですので、実際に個人のパスワード設定の現状などをリサーチして、アンケトートなどを組み合わせて、結論を出したのではないかと思います。
日本は、その米国の議論に、乗っかった感じではないかと思います。
設定と管理のあり方|IDとパスワード|どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト
2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。
(※1) NIST SP800-63B(電子的認証に関するガイドライン)
とありました。
この国民のための情報セキュリティサイトによると、
- 案全なパスワード
(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと
- 危険なパスワード
-
- (1) 自分や家族の名前、ペットの名前
- yamada、tanaka、taro、hanako(名前)
19960628、h020315(生年月日)
tokyo、kasumigaseki(住所)
3470、1297(車のナンバー)
ruby、koro(ペットの名前)
- (2) 辞書に載っているような一般的な英単語
- password、baseball、soccer、monkey、dragon
- (3) 同じ文字の繰り返しやわかりやすい並びの文字列
- aaaa、0000(同じ文字の組み合わせ)
abcd、123456、200、abc123(安易な数字や英文字の並び)
asdf、qwerty(キーボードの配列)
- (4) 短すぎる文字列
- gf、ps
とありました。危険なパスワードが、商標の識別力のないものと、同じではないのですが、よく似ているなと感じました。
ただし、同サイトは、パスワードを他のサービスに使い回さないことを求めています。
またパスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。
安全なパスワードにすると、パスワードが盗まれる心配は減りますが、サービス毎に変えるとなると、これはまた、面倒です。
どちらにせよ、パスワードは面倒ですし、生体認証技術が進んできているようですので、将来的にはそちらにシフトして、パスワードが無くなるのかなぁと思いました。