米政府機関「パスワードの定期的な変更は推奨しない」その理由と新たに推奨される「パスフレーズ」とは?

13

2017.05.25

by ともぞう

ども!ともぞうです。

業務用のシステムやオンラインバンクなどでは定期的にパスワードの変更が求められる場合がありますが、毎回新しいパスワードを考えるのって面倒くさいですよね。

そんなパスワードの定期変更ですが、以前かみあぷではアメリカの政府期間が定めるガイドラインの草案では「定期的にパスワードを変更しない方がよい」としていることをお伝えしていました。

そのガイドラインの新たな草案が発行され、推奨されるパスワードの考え方についても書かれていたので、ご紹介いたします!

ユーザーが安全なパスワードを作る努力をしていなければ無意味

利用するオンラインサービスの種類はどんどん増えていき、管理しなければならないアカウントとパスワードもそれに合わせて増えてきていますよね。

なかでも面倒くさいなーと思ってしまうのが、定期的にパスワードが求められるサービス。セキュリティの観点から定期的に違うパスワードに変えた方が良いという考え方なんですよねたぶん。

ところが、アメリカ国立標準技術研究所(以下、NIST)が発行する「電子認証に関するガイドライン」によれば、考え方は真逆。

このガイドラインでNISTは、「ユーザーが定期的にパスワードを変更すること」を推奨していないんです。

というのも、定期的にパスワードを変える場合にどうしても面倒くさいので、パスワードの一部を変えるだけになってしまい結局あまり意味がないというのがその理由。

例えば、以下のような感じで末尾の数字だけを変えていくとか…実のところ私もとあるパスワードでこれやってました。

  1. 最初のパスワード「abcdefg0
  2. 1回目の変更「abcdefg1
  3. 2回目の変更「abcdefg2
  4. 3回目の変更「abcdefg3
  5. ・・・

もう数ヶ月おきに変わるのが分かっていて、覚えておかなければならないとなるとどうしてもこういうパターンを作るっていう方、いますよね?(いると思いたい)

そんなユーザー心理もあり、定期的なパスワードの変更をサービス側が求める必要はないと、NISTはガイドラインで勧告しています。

推奨される「パスフレーズ」とは

じゃあどうするのが望ましいかというと新版の草案においては、パスワードに変わり「パスプレーズ」を推奨しているんです。

さてそのあまり聞き慣れない「パスフレーズ」とはなんなのかというと、IT用語辞典によれば、

パスフレーズとは、利用者の認証などに用いる秘密の文字列の一種で、パスワードよりも長いもの。人間が覚えやすいように、いくつかの単語を空白で区切った句(フレーズ)を設定することが多いためこのように呼ばれる。

引用元:IT用語辞典

と説明されています。要は「文章のような長いパスワード」ってことですね。

前提が英語ってことになるとは思いますが、Information Technology Servicesで具体的な説明があたので実際に「パスフレーズ」を作ってみると、

tomozo is not handsome(ともぞうはハンサムではありません)


こんな感じで自分だけが分かるよな文章を作って、それをパスワード代わりにしてしまうということになるようです。

ただこれだとセキュリティ的には弱いらしく、実際にはiを1に置き換えたりoを0に置き換えたりして

t0m0z0 1s n0t hands0me(ともぞうはハンサムではありません)


こんな感じにするのが望ましいとのこと。

NISTはさらに「パスフレーズ」を使用するには64文字以上が必要と考えており、なおかつユーザーが望む長さで保存できることを奨励していうそうですよ。

パスワードの生成と管理はアプリが一番

いやまあ確かにここまでやれば、セキュリティ的には強固になりそうですけど、64文字以上のパスフレーズをサイト毎に覚えるのってそれはそれで困難ですよね。というたぶん無理w

そういう意味では以前からかみあぷでも推奨していますが、やはり「パスワード管理アプリ」を使って自動生成してしまうのが手っ取り早いと思います。

私が愛用している『1password』では、任意の桁数・数字・記号の有無を指定できるのでこれで生成しちゃえば特に考える必要はありません。

そしてsafariなどでログインする際にはエクステンションから自動入力されますし、もう覚える必要はまったくないという。

またパスワードの元データはiCloudにバックアップされるので、複数端末での同期もバッチリ。

こういう運用を始めてからは『1password』を開くマスターパスワード以外、まったく覚えていなくても困ったことはありません。

いまだにメモ帳にパスワードをメモして使っていたりしたら、まずは無料で1ヶ月使えるので『1password』を試してみるのもいいですよ。

まとめ

今回の話は何もNISTだけの話ではなく、昨年12月に内閣サイバーセキュリティーセンターが公開した「情報セキュリティハンドブック」でも同じようなアドバイスが載っており、

  • 定期的な変更を要求することで、パスワードの作り方がワンパターン化し簡単なものになることや、使い回しするようになることの方が問題
  • 機器やサービスの間で使い回しのない、固有のパスワードを設定したほうがよい

としており、使い回しをせずに「固有のパスワード」を設定することを推奨しています。

自分なんて被害に遭う訳なんてないから大丈夫…なんて思ってしまいがちですが、いざ標的にされたらシャレになりません。

あなたのパスワード管理、ここでもう一度見直してみませんか?

「AppleCare」に入り忘れた方はコチラ

 条件は最強なのに知られてない↑

ドコモのiPhoneをチェックする

 au民は見ない方がいいかも。最終的に全然違うよ。

参考:newsweek.com, NIST

コメント数ランキング

ランキングの続きを見る


関連記事