パスワードの定期的な変更は無駄な行為なのか? マイクロソフトの見解が発表されたようです

エンジニアリング

あらゆるサイトで目にするパスワードの定期的な変更を促すメッセージ。マイクロソフトによると、これはどうやら無駄なことのようです。


Microsoft Office 365 Solo (最新 1年版)|オンラインコード版|Win/Mac/iPad|インストール台数無制限(同時使用可能台数5台)

 

パスワードの定期的な変更はこれまで一般的に推奨されてきた

「パスワードの変更をおすすめいたします」このようなメッセージを目にしたことがある方は多いのではないでしょうか?これまでWeb上では当たり前のようにパスワードの変更が推奨されてきました。

パスワードの定期的な変更を推奨する理由は、万が一パスワードが流出した場合、そのパスワードが使用されるまでに「運良く」パスワードを変更していれば不正アクセスを防げるため。念には念を入れてというよりも、ラッキーにかけるという感覚です。

ユーザーにとってはパスワードの定期的な変更はかなり厄介な作業。変更を行うために各種サービスにアクセスするのも面倒ですし、古いパスワードを忘れて新しいパスワードを覚えなければいけません。1年ごとでもしんどいですし、1ヶ月ごととなると大きなストレスとなるでしょう。

 

マイクロソフトはパスワードの定期的な変更は不要と発表

これまでまかり通っていたパスワードの定期的な変更ですが、マイクロソフトはこの行為は無駄なことであり、むしろセキュリティリスクを高めることになると発表しました。その理屈は以下の通り。

パスワードの定期的な変更を求められたとき、人がとる行動のほとんどは以下の2つである

  1. パスワードを忘れないように他人から見える場所に書き留める
  2. 忘れない程度に小さな変更しか加えない

1番がセキュリティ的に非常に危険であることは明らかですし、2番もセキュリティを向上させる行為にはならないでしょう。そう考えたとき、パスワードの定期的な変更はむしろしない方がよいとの結論に至るのですね。

記事の中では以下のように締めくくっています。

パスワードを定期的にリセットするのは、昔からある時代遅れの緩和策で、非常に有用性が低い

マイクロソフト、パスワードの定期的な変更は無駄と認める – CNET Japan

https://japan.cnet.com/article/35136388/

 

パスワードの使い回しをしないことが最も重要

パスワードを設定する上で現状最も重要とされていることは以下の2つ。

  1. 他人から予測されにくく、長いパスワードを設定する
  2. 他のサイトと同じパスワードを設定しない

1番はパスワードを設定する際に制限されていることが多いため、再度確認する必要は少ないでしょう。重要なのは2番。他のサイトとパスワードを共通化することはセキュリティリスクを非常に増大させます。

とはいえたくさんのパスワードを覚えることは難しい・・・のであればおすすめしたいのがパスワードを集中管理できるサービス。以下の記事では「1password」について紹介していますが、類似のサービスを利用することでパスワード流出のリスクを抑えることができます。

最も危険なパスワードが公開に 「123456」だけはやめましょう

 

パスワードを巡る常識は定期的に更新されています。常に最新の情報に耳を傾け、設定するパスワードの重要性を理解することが、一番のセキュリティ対策かもしれませんね。