パスワードは定期的に変更してはいけない

一歩踏み込む社労士の村田です。

突然ですが皆さん、インターネットやネットワークを利用する際、ログイン時のパスワードを定期的に変更していますでしょうか。

銀行や証券会社のようなお堅いサイトほど、定期的に変更することを推奨されているはずです。

推奨されているのはランダムな英数字記号を最低〇文字パスワードに入れること。 G7dgdl9/dhG 例えばこんな感じ。初期パスワードってだいたいこんな感じですよね。

次に、あなたはインターネット上でログインをするパスワードをいくつ持っているでしょうか。 私の場合、プライベートで使う銀行や証券会社だけで7~8個、楽天やアマゾン、Gmailでも使っています。 すべて含めたら20は超えるでしょう。

では、20のパスワードを持っていますか?

すみません、持っていません。 だいたい、20のパスワードはさすがに覚えられません。

恐らく、ほとんどの方がどこかでパスワードの使い回しをしているのではないでしょうか。 少なくとも、「すべてのサイトにおいて、違うパスワードを使っている」という人に出会ったことが私はありません。

つまり、単純にパスワードを管理するだけでもユーザーに相当な負担を強いているのです。 さらにパスワードの定期的な変更を求めたらどうなるか。

…ユーザーはパスワードを単純なものに設定したくなります。 ただでさえ難しいパスワードの管理のハードルが各段と上がってしまうからです。

結果としてセキュリティ上の問題が発覚したときに、サイトの運営者は「ユーザーが単純なパスワードに設定したからだ」とユーザーに責任を問えます。定期的なパスワードの変更を求めるということは、サイトを運営する側から見ると、ユーザーに責任を押し付けられるシステムなのです。

これではセキュリティの根本の問題は解決しません。 この話は私が会社員時代から議論されていたものですが、相変わらず大手企業のサイトからパスワードの変更を促すメールが流れてきます。あまり浸透していないのでしょうか。あるいは、定期的なパスワードの変更がかえってセキュリティリスクを高める、というのは一意見に過ぎず、議論が尽くされていないということなのかもしれません。私はこの「定期的なパスワード変更はしない」という意見に賛成です。

私の場合、パスワードというよりは「Iloveyou」のような簡単な文章を作って、できるだけ長いパスワードにします。そのうえで、文章の文字の入れ替えなどを行い、普通には辿り着けないものにしています。パスワードの定期的な変更は、必要性が無い限り行っていません。(気に入ったフレーズが見つかると、その時にパスワード変更をすることはあります。)

この話は、もう一つ私に気付きを与えられました。私も、この話を聞くまでは、パスワードの定期的な変更はセキュリティに有効だと信じていました。当たり前と思っていることに疑問を持つことの大切さを改めて感じました。仕事をする姿勢として、新しい提案をする時は、既存の知識や情報を疑うところから始めていきたいと思います。

#パスワード #セキュリティ

特集記事
近日公開予定
今しばらくお待ちください...
最新記事
アーカイブ
タグから検索
まだタグはありません。
ソーシャルメディア
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square