いまやパスワードの定期的な変更は不要です。
ただし、条件が2つあります。
・パスワードが強固であること
・多要素認証を取り入れていること
これらを満たしていることです。
それともう1つ大事なことは、ただ今の時点で流出していないことです。
今回は、今どきのパスワード事情について紹介します。
パスワードの定期的な変更は必要ないことが標準
パスワードの定期的な変更は常識でした。
しかしこれ、2010年代の中頃までの話で、今や推奨されていません。
アメリカ国立標準技術研究所(NIST)が2017年、「サービスを提供する側がパスワードの定期的な変更を要求すべきではない」とのガイドラインを示しました。
リンク先はこちら↓
NIST SP800-63B(電子的認証に関するガイドライン)
日本でも、総務省が2024年5月、「国民のためのサイバーセキュリティサイト」の「安全なパスワードの設定・管理」と題するページで、「パスワードを複数のサービスで使い回さない(定期的な変更は不要)」と明記しました。
リンク先はこちら↓
「パスワードを複数のサービスで使い回さない(定期的な変更は不要)」
また、内閣サイバーセキュリティセンター(NISC)は、「インターネットの安全・安心ハンドブックVer 5.10(令和7年3月11日)」の「第5章の1.7」の見出しで、「パスワードの定期変更は基本は必要なし。ただし流出時は速やかに変更する」としています。
リンク先はこちら↓
「パスワードの定期変更は基本は必要なし。ただし流出時は速やかに変更する」
このように、既にパスワードの定期的な変更は必要ないことが標準です。
なぜパスワードの定期的な変更は必要ないのか
実際、パスワードを破られたり、サービス側から流出していないにもかかわらず、単に定期的な変更のみをサービス側が要求すると、どのようなことになりがちか考えてみます。
懸念されるのは、パスワードが単純化したり、ワンパターン化したり、サービス間で使い回しされることです。
むしろこちらの方が問題ということです。
アメリカ国立標準技術研究所(NIST)の「NIST SP800-63B」には以下の記載もあります。
「ユーザーの要求やオーセンティケーターの侵害の証拠がない限り、パスワードを任意に(例えば、定期的に)変更することを要求しないでください」
パスワードが強固であり、多要素認証を取り入れていて、ただ今の時点で流出していないなら、定期的な変更は必要ないということです。
パスワードの変更が必要な場合とは
パスワードの定期的な変更が推奨されなくても、その変更自体は必要な場面があります。
それは、パスワードが流出したり、自分のアカウントに覚えのないログインがあったときは、すみやかにパスワードを変更する必要があります。
また、パスワード自体が短く単純な場合、より複雑なものに変更することも必要です。
強固で覚えやすいパスワードは作れる?
複雑なパスワードがセキュリティ的に安全ですが、覚えていられません。
安易にメモなど残してしまうと、見られる恐れもあります。
そうなるとパスワードを複雑にした意味がありません。
強固で覚えやすいパスワードが理想ですが、どうやって作ればいいのでしょう。
それに答えているのが、独立行政法人情報処理推進機構(IPA)の「チョコっとプラスパスワード」です。
リンク先はこちら↓
「チョコっとプラスパスワード」
・覚えやすいフレーズからパスワードをつくる
・ことば遊びでパスワードをつくる
といった方法が紹介されています。
この方法で「10文字以上」で「数字・英大小文字・記号を混ぜる」といいでしょう。
「強固(複雑)」と「覚えやすい」は相反することです。
それでも工夫することによって、強固で覚えやすいパスワードが作れます。
「チョコっとプラスパスワード」を参考にして作るのもいいと思います。
さいごに
パスワード事情が変わっていることは知られていないようです。
筆者の使っている金融機関のサイトでは、いまだにパスワードの変更を求めてきます。
金融機関でさえそんなありさまです。
この状況では、金融機関の方を信用してしまうかもしれません。
ITに疎い方ならそうなるでしょうか。
窓口や電話でのやり取りが選択できずIT化が進む時代です。
重要な情報は自分から取りにいくことが必要と感じます。
参考になりましたら幸いです。
