パスワードは変更すべきか?

もうね、一般的なWebサイトでは、会員登録の際にユーザーIDとパスワードが設定されて、一定の期間がすぎるとパスワードを変更せよとメッセージを出してきます。これね、めんどくさいだけでなくあんまり推奨できないと思っています。以前にもこの話題が出て、そうだそうだと相づちを打っていたんですが、どうにも方向が変わりません。パスワードの定期変更なんてめんどくさいだけで効果ないと思ってます。

2017年6月に全面改定が行われた米国標準技術研究所(NIST)が発行するガイドライン「SP800-63」の中には「Webサイトは利用者に対し、パスワードの定期的な変更を要求すべきではない」という趣旨の一文が追加された。複雑なパスワードの強制と同様、定期変更の要求はメリットよりもデメリットが多かったのだ。

パスワードを定期的に変えるのはデメリットが多い!?変更すべき4つの場合 | 日経 xTECH(クロステック) 

じゃ同じパスワードでいいのか?

私は、可能な限り多くの桁数で可能な限り多くの文字種を使い可能な限りランダムな文字列で作られたパスワードをパスワード管理ソフトを使って各サイトごとに設定するのがよろしいと思うのです。最近はパスワード管理ソフトもたくさん出ています。人間の脳みそはそんな複雑なものをたくさん覚えてなんていられませんので、パスワード管理ソフトに任せる。

ところが、ウェブサイトによってはパスワードに記号が使えなかったり、凄いところになると数字のみなんてところもあります。桁数に関しても、8文字までとか「ふざけてるんか?」と思うところも多いのですよね。最低でも私は20桁ぐらい欲しいと思ってます。パスワードを解析するソフトの中には、総当たりでパスワードを試すものなんてのもあります。こういったもののために、桁数は最大値を取らずにちょっと違うものにするのもいいと思います(MAX20桁だったら18桁にするとか)。

文字種を増やす。桁数を増やす。これをね、再設定の代わりにぜひ進めて欲しいのです。パスワードの定期変更なんて時代遅れですよ。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です