10月はサイバーセキュリティ月間です。サイバーセキュリティの主要な形態のひとつであるログインパスワードを見てみましょう。専門家は実際に頻繁な変更を推奨しないことをご存知ですか?  

連邦取引委員会は、定期的なパスワード変更手続きを実施することが、ユーザーに基本的で覚えやすく、予測しやすいパスワードの使用を促すため、企業に対して注意を促しています。

必須のパスワード変更はまだ効果的ですか?

Password123! は、1990年代後半から2000年代初頭にかけて、デバイスへの不正ログインを防ぐのに十分に強力なパスワードでした。しかし、今日の世界では、パスワードは特定の要件を満たす必要があります:8文字以上で、大文字、数字、特殊記号を含む必要があります。一部では、新しいパスワードが過去数回のものと重複しないことが求められます。(出典:HPE

新たな脅威が出現するにつれてデータセキュリティは進化し、従来のセキュリティ対策は無価値になっています。私たちがよく知っている長年のサイバーセキュリティ対策は必須のパスワード変更です。通常、90日ごとにパスワードを変更する時期だというプロンプトが表示されます。 

しかし、最近の研究では、この必須の90日パスワード変更はかつてほど効果的でないことが証明されています。90日ごとの強制的なパスワード変更は、複雑なパスワードを覚えるのがかなり難しいため、ユーザーがより弱いパスワードを設定する原因となります。特に1日に何度も入力しなければならない場合はなおさらです。人々は覚えやすいパスワードを使用し、それらを複数のアカウントで使い回す傾向があります。

そして、パスワードの変更が求められる時には、以前のパスワードを再利用し、文字を置き換えるだけです。例えば S$ に変えるなどです。攻撃者は古いパスワードの一つを入手すれば、こうしたパスワード変更パターンを簡単にハッキングできます。

このトピックに関する研究は2010年頃から発表されており、連邦取引委員会(FTC)はすでに公式声明を出しています。FTCは、必須のパスワード更新ポリシーがサイバー攻撃に対するセキュリティを提供し続けていることを企業に呼びかけています。それでも、企業は自社の分野に関連する新しくより優れたセキュリティ対策を導入すべきです。(出典:FTC

パスワードを変更すべきタイミング

CyLab Security and Privacy Institute のセキュリティ・プライバシー技術部門ディレクターであるロリー・クレイナーによれば、パスワードの変更は思っているほど頻繁に行う必要はありません。パスワードは好きなだけ保持できますが、以下のシナリオに遭遇した瞬間に変更すべきです。

パスワード作成のためのいくつかのガイドライン

会社のパスワードポリシーに応じて、パスワードに関するさまざまな要件が提示されているかもしれませんが、強力なパスワードを作成するためのシンプルなヒントも以下に示します。

個人情報を使用しない

自分の名前、誕生日、または公開されている個人情報をパスワードに組み込まないようにしましょう。

長めのパスワードを使用する

6文字以上のパスワードで十分です。文字は英数字を基本とし、可能であれば特殊文字も含めましょう。

異なるアカウントで同じパスワードを使用しないでください

可能な限り、異なるアカウントごとに別々のパスワードを使用してください。

ランダムパスワードの使用を検討してください

利用できるパスワードランダマイザーエンジンはいくつかあります。ランダムパスワードを使用することを検討してもよいでしょう。(出典: GCF Global)