パスワードは定期的に変更した方が良いのか、しない方が良いのか。

パスワードは定期的に変更した方が良いのか、しない方が良いのか。

パスワードは定期的に変更した方が良いのか、しない方が良いのか。

パスワードは定期的に変更した方が良いのか、しない方が良いのか。

今回はパスワードの話です。
これまでパスワードは定期的に変更した方が良い、とされてきました。
ところが最近はパスワードを定期的に変更する事は無駄であり、むしろリスクを高めてしまうという意見が大きくなってきています。
個人的には僕もパスワードは定期的に変える必要は無いと考えています(例外あり)。

スポンサーリンク

賛否両論あるテーマではありますが、それぞれのメリットとデメリットについて考えてみます。

パスワードは定期的に変更した方が良いのか、しない方が良いのか。

パスワードを定期的に変更するメリット

パスワードを定期的に変更する事の利点は、万が一パスワードを盗まれた時に犯人が侵入できる期間を制限できるから、です。
よく利用しているサービスやシステムであれば異変に気づく事もできると思いますが、問題はパスワードを設定したのは良いけど最近はほとんど利用していないんだよね、なんて場合。
誰にでも一つや二つはあると思います。
この場合、パスワードを盗まれた事に気づく事が困難で、侵入者に時間の許す限り好き放題されてしまいます。
その結果システムを改ざんされたり、重要な情報を盗まれたりするわけですね。

また定期的にパスワードを変更するためにログインを行うと、現在パスワードを使っているシステム、サービス全てを定期的に巡回できる機会が生まれるので、場合によってはこれはもう使わないよね、と必要の無いアカウントを見つけやすくもなるでしょう。

パスワードを定期変更するデメリット

逆にデメリットと言えば、まず一番に時間があります。
僕の職場は現在数ヶ月に一度パスワード変更期間と言うものがやってきます。
うちのようにパスワード変更を義務づけている企業も多いです。
大体10~20位のシステムのパスワードを全て変更するのですが、どんなに早く行っても1時間近くかかります。
一気に行ってもこれ位かかる作業を業務の合間をぬって行う必要があるので、正直な話仕事を圧迫してしまいます。

また統計上パスワードを定期的に変更する際、適当にパスワードを生成してしまう傾向が強いと言われています。
例えば前半英字はいつも同じで後半の数字だけ連番にしている、とかですね。
僕自身これまで何度も変更してきていますが、実は毎回全く新しいパスワードを作成した事はほとんどありません。
どこか被っています。
良くはない、推奨されるはずがない事は理解していますが、そうしないとパスワードを覚えられないんです。

スポンサーリンク

変更する事によるメリットよりも時間のデメリットが大きいのでは?

以上主なメリットとデメリットについて書いてきましたが、それぞれを見比べるとデメリットの方が大きい、と僕は思っています。
ちょっと前に言うと、ただ面倒くさがっているだけ、と心外なレッテルを貼られる事も多かったんですが、同じような意見の方が支持されるようになって個人的には嬉しく思っています。
まぁ基本面倒くさがりな人はこれは無駄だからしたくない、って考える傾向は強いような気もするのであながち間違ってるとも言えないのですが(僕はそう)

そもそもパスワード設定の時点で強固なパスワードを生成するべき

犯人の侵入できる期間を制限できる、というパスワード定期変更のメリット。
これってパスワードが盗まれる事をあらかじめ想定したメリットですよね。
盗まれる事を前提としたセキュリティー対策ってありといえばありですけど、それって基本とは言えないんじゃないでしょうか。

なのでセキュリティーを一番に考えるのであれば最初から強固なパスワードを用意すべきで、現在想定されやすいとされているパスワード(誕生日とか名前とかを使っている)を利用している場合のみ変更が必要だと僕は思っています。

最近になってよく言われるようになったパスフレーズを利用してみるのも良いでしょう。

パスフレーズとは、利用者の認証などに用いる秘密の文字列の一種で、パスワードよりも長いもの。人間が覚えやすいように、いくつかの単語を空白で区切った句(フレーズ)を設定することが多いためこのように呼ばれる。
IT用語辞典

単純に単語(ワード)をつなげてフレーズ(句)にすれば覚えやすいですよね、って話です。
もちろん長くなればなるほどセキュリティー上強固になっていきます。

定期変更が推奨される例外パターン

個人的にパスワードは定期変更をする必要が無い、という主張を書いてみましたが、何事にも例外はあります。
個人的に例外で定期変更した方が良いと思えるのはメール、メッセンジャー、SNSのパスワードです。

何故かといえば、これらは侵入者が侵入に成功してもその痕跡を残さず個人情報をはじめとした重要な情報が流れてくるのをじっと待っている場合が考えられるからです。

例えばネットショップのパスワードを盗まれた場合、考えられるリスクは勝手に購入される事。
ホームページやブログのパスワードが盗まれたら怖いのは改ざんですよね。
これらは侵入された場合、じっと待つ必要も無くちゃちゃっとやられる可能性が高いです。
なので盗まれた少し後にピンポイントでこちらが変更しなければ上記のメリットはあまり生きません。
しかし明らかな被害が出るので、侵入された痕跡は分かります。

大してメールやSNSの場合は情報を盗み見され続け、うっかり個人情報や会社の機密情報なんかを送受信してしまうのをジっと待っている場合が多いんです。
最近はログイン履歴などでどの端末でログインしたか分かるようになっているので、リスクは減っていると言えますが、気づかないままいつまでたってもまずい情報を送ったり受け取ったりしていた…なんて笑えない状況にもなりかねません。

もっともこれらも同じようにそもそも強固なパスワードで対策しておくのが一番ではあるのですが、このあたりのサイト、サービスについては定期変更のメリットはデメリットを超えているのかなぁと思います。

まとめ

以上パスワードの定期変更の必要性の有無についてでした。

以前はパスワードは定期的に変更しなくて良くない?=セキュリティー対策への考えが甘い、みたいに思われがちでしたが、改めて考えてみても少なくとも必須です!と断言できるような話じゃないですよね、とやっぱり思います。

最後になりますが、パスワード変更自体意味が無い、危険が高いのではありません。
当然時間が取れて、強固なパスワードを毎回生成しているなら変えるに越した事は無いです。

時間と手間との折り合いですね。
ここまで読んでいただきありがとうございました。

スポンサーリンク
関連記事
スポンサーリンク
スポンサーリンク
スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加
スポンサーリンク