これまで「パスワードは定期的に変更することが安全につながる」とされてきましたが、総務省が「定期的な変更は不要」「パターン化し簡単なものになることや、使い回しをするようになる」という別のリスクがあると方針転換したようです。
パスワードを複数サービスで使い回さない「定期的な変更は不要」
総務省が公開している「国民のための情報セキュリティサイト」において、インターネットサービスで利用するパスワードについて、従来当たり前とされてきた「パスワードの定期的な変更は、かえってリスクを増やしている」とする注意喚起を行なっています。
同サイトでは「定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題」とし、定期的に変更することよりも、使い回しはせずに、固有のパスワードを設定するようにと案内しています。
これまで「パスワードの定期変更」が推奨されてきましたが、昨年、米国国立標準技術研究所(NIST)の発行するガイドラインで、サービス提供者側が「パスワードの定期的な変更を要求すべきではない」と記載されことをうけた変更。
内閣サイバーセキュリティセンターも「パスワードの定期変更は必要なし」「流出時に速やかに変更するように」と案内しているとのことです。
NIST「大文字や小文字を入れることは無意味」
また、NISTはこれまで安全なパスワードには「大文字や小文字を混ぜたパスワード」を推奨してきていましたが、これらも「無意味だった」と明らかにしています。
安全なパスワードを作るためには「長く覚えやすいパスワードを設定する」ことが推奨されています。
