皆さんはネットのパスワードは変更していますか?

今や、日常生活に必要不可欠となったインターネット。日々の調べ物だけではなく、ネット証券やネット銀行、ネットショッピングなどいろいろな場面で利用するようになりました。
一方で心配なのはコンピュータウイルスなどの情報漏えい事故。
ネット銀行などでも定期的にパスワードを変えましょう、といった注意喚起を日々目にします。
みなさんは、このパスワード、定期的に変更していますか?
パスワードの定期的な変更は不要

そんな中、総務省がパスワードの管理方法について、こんなことを言い出したんです。
利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。
国民のための情報セキュリティサイト「設定と管理のあり方」より抜粋
そう、総務省は以前、定期的にパスワードを変更せよ、と言っていたんです。そう、ここにきて発言が180度変わってしまったんです。
そう、ワタシも最初そう思ったんです。でも、しっかりとこの意見を読み込んでみると、確かにもっともな意見だな、と思うようになりました。
誤りの根源はPINとパスワードの違いにあった?

PINて聞いたことありますかね?
PINとはPersonal Identification Numberの略。日本語で訳すと、「個人識別番号」と言います。
イメージ的には、ATMで銀行口座からお金をおろすときに使う4桁の暗証番号を思い浮かべていただければいいでしょう。
一方で、ワタシ達が使用するパスワード。インターネットのウェブサービスなどでよく使われますが、このパスワードには桁数もできるだけ多く、数字だけではなく、記号や英数文字を使うように促されることが多いです。
でも、実際にはこのPINとパスワードって明確に分けて考えている人ってあまりいないと思うんですよね。
入力回数の制限があるPIN
PINの多くは数字だけで認証が可能です。なんで数字だけの簡単なルールで許されているのか、というとこれは誤入力回数に上限が定められているからです。
もしも、悪意のある第三者がPINを盗み出そうとしても、誤入力を3回間違えば、その番号は使えなくなり、新たに本人確認やパスワードの再発行が求められることになります。
このような厳しい条件では、PINを盗み出すことは相当難しいといわざるをえません。
入力回数制限がないパスワード
一方で、パスワードの入力する場面では、入力を誤っても回数制限がない、あるいは一定時間経過すれば再入力が可能となるものがあります。
このような場合、パスワードを定期的に変えるよりも、見破られないパスワードを継続利用したほうがセキュリティレベルが高いことになります。
もしも、あなたが以下の文字を含んだ10桁のパスワードを設定しておけば、まずは見破られることはないとされます。
- 英大文字
- 英小文字
- 数字
- 記号
これらを最低でも1種類以上含めた場合、組み合わせパターンは2785京パターンとなり、1秒に5個で総当たり攻撃をしたとしても1760億年かかることになるのです(インターネットの安全・安心ハンドブックVer4.00より引用)。
これなら、定期的に変更に変更することとセキュリティレベルとは別物と考えて良さそうですね。
PINとパスワードのまとめ

つまるところ、世間で見られるパスワードのルールは、こうしたPINとパスワードの違いも整理できないのに…
とりあえずあぶなそうだから、まあ、パスワードは定期的に変えたほうが安全そうだよね?
みたいなノリで決めたに違いありません(笑)
ということで要約すると…
- パスワードは定期的に変更する必要はない
- その代わり見破られない英大文字・小文字、数字、記号などをまんべんなく使う。
- パスワードは盗み見されない、他人にバレないというのが前提
手段や目的を整理したうえで物事を考えないと、トンチンカンなアイデアしか生まれない…そんな良い事例かもしれませんね。
それではまた~。