2024年8月、米国国立標準技術研究所 (NIST)は、パスワードガイドラインの最新版(デジタルアイデンティティガイドラインSP800-63B)で、認証サービスプロバイダー(CSP)に対し、認証システムが侵害されない限り、複数の文字タイプを使用したパスワードの推奨と定期的なパスワードの変更を義務付けないよう変更しました。パスワードの複雑化や変更は長年推奨されてきましたが、覚えられず使いまわしてしまう人が増えたことが、今回の廃止の要因です。実はすでに2017年には、パスワードの定期的な変更を要求すべきではない、と記載されていましたが、今回のガイドラインでは、定期的な変更を義務付けないように、とより強い言葉に変更されました。
日本においても、内閣サイバーセキュリティセンター(NISC)の「インターネットの安全・安心ハンドブックVer 5.00」の中で、パスワードを定期変更する必要はないとしています。そもそもパスワードを定期的に変更するのは「仮にパスワードが流出したとしても定期的に変更していればアカウントを守れる」という想定でした。しかし、定期的に変更することでパスワードが単純化したり、パスワードのつくり方がワンパターン化したり、複数のサービスで同じパスワードを使いまわしたりすることに繋がり、問題視されるようになりました。 アカウントが乗っ取られた場合やパスワードが流出した事実を知った場合は、速やかにパスワードを変更し、原因を特定するようにしましょう。
パスワードの管理方法については、前述の「インターネットの安全・安心ハンドブック」にスマホ用のパスワード管理アプリや紙のノート2冊に記入する例が紹介されています。パスワード生成ツールでランダムな文字列を作成し、パスワードマネージャなどに記録しておくとよいでしょう。筆者は、個人用のパスワードは紙のノート2冊にまとめています。2冊というのもポイントで、記入した文字が経年劣化で薄くなって読みにくくなってしまったり、水分を含んでしまい文字がにじんで読めなくなってしまったりすることを過去に経験しているからです。もちろん消せるボールペンは避けた方が安心です。パスワードの必要性を理解し、正しくパスワードの設定や管理をしていきましょう。
関連リンク
- デジタルアイデンティティガイドライン(English)(NIST)
- インターネットの安全・安心ハンドブック(内閣サイバーセキュリティセンター)
- パスワード生成ツール「ルフトツールズ(LUFTTOOLS)」
情報提供:地域貢献事業部 サイバーセキュリティ担当 藁科 |