パスワードは定期的に変更すべき?--もはや時代遅れな3つのルール

Laura Hautala (CNET News) 翻訳校正: 編集部2020年03月18日 07時30分

 テクノロジー業界はパスワードよりましな代替機能に取り組んではいるが、まだ当分はパスワードを使い続けなければならない。過去数十年伝えられてきたパスワードに関するアドバイスの中には、時代遅れになったものもある。ここで紹介しよう。

パスワード入力のイメージ
欠陥はいろいろあっても、パスワードは使い続けるしかない。
提供:Brett Pearce/CNET

 パスワードの安全性を保つための基本は変わらない。アカウントごとに異なるパスワードを使い、推測しにくいパスワードを作成すること。だが、セキュリティの専門家たちは、3つの古くからのルールは捨てていいと言っている。その3つは、パスワードを書き残すな、誰にもパスワードを教えるな、パスワードは頻繁に変更せよ、だ。

 これらのアドバイスは、最大の脅威が人間によるコンピューターへの物理的なアクセスだった時代のものだ。今日では、われわれの生活は完全にインターネットとアプリと絡み合っており、ハッカーは世界中のいたるところにいる。その結果、自分のアカウントを守る方法も考え直さなければならなくなった。

 パスワードには様々な欠点があるが、それでもあなたはまだパスワードを使う必要がある。だから、最善の方法を選ぼう。パスワードには、ランダムな文字列や「パスフレーズ」と呼ばれる無関係な単語の長い組合わせなどを使おう。辞書に載っている単体の単語やよく知られた代替文字、例えば「a」の代わりの「@」などは避けよう。パスワードを自動生成して保存する「パスワードマネージャー」を使って手間を省くことを検討してもいいだろう。

 では、サイバーセキュリティとプライバシーの専門家のアドバイスを紹介していこう。

パスワードを書き留めるべからず

 初期のコンピューターユーザーが端末にログインするようになると、まずパスワードを記憶し、書き留めるなと告げられた。

 すべての始まりは、ユーザー名とパスワードを必要とする世界最初のコンピュータとして知られるマサチューセッツ工科大学(MIT)のCompatible Time Sharing System(互換タイムシェアリングシステム)だ。1963年から、MITのユーザーは共有のターミナルにログインすることで各自の個人アカウントに接続していた。数十年の間、最悪の行為とは、誰でも見ることができるワークステーションの近くにパスワードを書いたメモを置いておくことだった。

 今ではそんなことはない。

 Googleのアカウントセキュリティ責任者、Mark Risher氏は「このアドバイスは今やまったく非生産的だ」「パスワードを書き残した方がよほどいい」と語った。

 自分で使っている多数のアカウントの、それぞれ異なるパスワードを記憶する最も簡単な方法はそれを書き留めておくことだ。もちろん、誰かがあなたの記録を入手するリスクはある。だが、複数のサービスで使いまわしているパスワードをはるか遠くにいる攻撃者に悪用されるリスクの方が大きい。

安全な方法

 オンラインショップやオフィス用品店が「パスワードブック」を販売している。1冊購入してパスワードを記録し、自宅で鍵をかけて保管しておくのがいいと、専門家は言う。

 同居人の誰か、例えば不仲な配偶者や個人情報窃盗で有罪判決を受けたことのあるいとこなどがあなたをハッキングする可能性があるのなら、この方法はあなた向きではない。

 それに、パスワードブックを鍵をかけた自宅に置いておくのは、あなたが頻繁に外出するのであれば不便だ。だが、重要なアカウントに一意で強力なパスワードを設定することは第一歩ではある。

アカウントを共有するべからず

 パスワードを共有しないようアドバイスするのは、完全に非現実的だというほど間違ってはいない。

 人はさまざまな理由でパスワードを友人や家族と共有する。例えば、家族のアカウント共有を認めているサービスもあるし、多くの夫婦は財産を共有している。それにある日、あなたあるいは家族が亡くなったり、決定能力を失ったりするかもしれない。

 SurveyMonkeyが2月に発表したデータによると、ソーシャルメディアやメールのパスワードを自分の配偶者と共有することに抵抗を感じない人は多いという。

 そこにはリスクもある。2人の関係性が壊れたり、いずれか一方が支配的な場合は、パスワードの共有は危険になり得ると、家庭内暴力の専門家は指摘する。また、パスワードを2人で共有すれば、ハッカーに情報を奪われる可能性も2倍になる。

安全な方法

 まず、利用するサービスが複数のユーザーによる1つのアカウント共有を許可しているかどうか確認しよう。

 次に、アカウントのパスワードを再利用しないこと。そうすれば、もしあなたの配偶者がフィッシング詐欺に遭ってあなたのパスワードの1つを盗まれてしまっても、他のアカウントには影響しない。

パスワードを定期的に変更すべし

 定期的にパスワードを変更すれば、アカウントへのアクセス権を入手した可能性のあるハッカーを遮断できるだろう。

 だが、約10年前、研究者たちがこのアドバイスは利益より害をもたらすことを示した。つまり、パスワードの変更を強制すると、人はより脆弱なパスワードを選ぶようになるのだ。

 ノースカロライナ大学チャペルヒル校で、学生と教職員のパスワードの習慣について調査した。対象者には3カ月ごとにパスワードを変更するよう求めた。その結果、ユーザーのパスワード変更は、攻撃者が簡単に推測できるような小さなものになった。

安全な方法

 データ侵害でパスワードが危険にさらされていることが分かった場合は、パスワードを変更するべきだ。「Have I Been Pwned」にサインアップすれば、あなたに影響のある攻撃についての情報が得られる。ウェブブラウザの「Firefox」か「Chrome」、あるいはOktaのブラウザ拡張機能を使うことでも、あなたのパスワードが流出データに含まれていれば警告される。

 最後に、アカウントで可能な2要素認証を使おう。そうすれば、ハッカーがパスワードを盗んでも、相当努力しなければ、あなたのアカウントにアクセスできない。SMSベースの認証はある種の攻撃に対しては脆弱だが、しないよりはましだ。「Google Authenticator」あるいは「Authy」のような認証アプリはさらに強力だ。そして、GoogleやFacebookなどの非常に重要なアカウントには、ハードウェアのセキュリティキーを使うといい。

 だがまずは、同じパスワードの使い回しを止めよう。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]