「あなたのパスワードは長期間変更されていません」
このメッセージが出るとうんざりしてしまいます。せっかく慣れたパスワードを、また1から考え直して設定するのはかなり面倒な作業です。セキュリティ対策は万全に!そう分かっていてもつい、例えば最後につけている数字を1から2に変更するだけだったり、あるいは前々回に使用していたパスワードを再度設定したりと、何よりも「自分が忘れないため」に簡易的な変更作業に終わってしまいます。だって、せっかく設定したパスワードを忘れてしまったのでは次回のログイン時にたいへんなことになってしまいますからね・・・。このような理由から、自分のパスワードを付箋に書いて堂々とパソコンに張り付けていた会社員時代。ダメなことだと分かっているのだけど、急病で仕事を休まざるを得ないときなど、緊急にほかの社員に私のパソコンの中にある情報を操作してもらうためには、そのパスワードを周知しておく必要性もあったからなのですが。。。同じ経験をお持ちの方もわりと多いのではないかと思います。
日本のセキュリティ対策の司令塔である「内閣サイバーセキュリティセンター」(以下、NISCと表記します。)が、2016年に定期的なパスワードの変更は不要と呼びかけたことから、総務省のホームページでも「変更は不要」との表記に変わりました。
総務省では、ホームページで定期的変更を呼びかけ始めたのは2003年から。利用者が単純なパスワードを使いまわしがちで、一度パスワードが漏れると被害が一気に拡大する恐れがあったからだそうです。
前出のNISCによると、パスワードの安全性を高めるためのポイントは、英数字などを組み合わせて少なくとも10ケタ以上にすること。それに対し現状は、「パスワードの変更を求めていくうちに簡単な文字列になりがちで、破られやすいものになる傾向が出てきた」のだそうです。まさに、私がハマっているパスワード無限ループの状態です。「それよりは、複雑なパスワードを設定し、使いまわしをしないことのほうが重要だと考えた」とのことです。
このNISCが参考にしたのが海外の動き。2010年、ノースカロライナ大学の研究チームが、次のような定期的変更に関する研究結果を発表しました。パスワードを90日ごとに変更する条件で学生らのアカウント約7,700件を調べたところ、記号1文字を削除したり、「a」を「A」に置き換えたりするなど以前のパスワードから推測されやすい文字列に設定する傾向が見られたといいます。米国の国立標準技術研究所(NIST)も2017年、「ユーザーにパスワードの定期的変更は求めるべきではない」という趣旨のガイドラインを発表しました。
しかし、「変更不要」については懸念が残るのもまた事実。ある金融業者は、「国の方針は知っているが、従来の定期的変更を促すやり方を変えるつもりはない」といいます。万が一パスワードが漏れた場合を考えれば、やはり従来通り定期的な変更をするに越したことはないからです。
以下の、米スプラッシュデータ発表による「2017年の危険なパスワードランキング」を見ていると、個々人のセキュリティ対策への興味のなさが前面に出ていて、私はまだマシなほうだと少し安心してしまいました。
【2017年の危険なパスワードランキング】
1. 123456
2. password
3. 12345678
4. qwerty (パソコン2段目の配列!)
5. 12345
6. 123456789
7. letmein (Let me in!)
8. 1234567
9. football (趣味かっ!)
10. iloveyou
以上、なかなかアメリカンな感じで、これの日本人バージョンが気になるところです。
情報セキュリティの専門家によるアドバイスは、「守りたい情報を取捨選択し、重要なものなら複雑で長い文字列のパスワードを設定し、漏えい対策として定期的に変更をすること」とのこと。
やっぱりそうなりますよね(-"-)