パスワードを定期的に変更するのは不要。逆に危険という方針に。




総務省が、「パスワードを定期的に変更するのは、かえって危険」という方針で、国民に注意喚起することに変更した。

定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の“常識”を覆すような注意喚起を始めた。「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。方針転換に困惑する声も少なくない。

方針変更の背景には、これまでは、定期的にパスワードを変更することでセキュリティを高めるということが常識であったが、「パスワードを定期的に変更する」ということがルーチンワーク化することによって、ユーザーは一定のパターンの中でパスワードを使いまわすようになってしまっていることが問題になっており、今後の方針としては、「各機器やサービスで使いまわしのない固有のパスワードを設定する」こと、としている。

今までは、大手サービスなどでも定期的にパスワードの変更を促すようなサイトもあったが、米国国立標準技術研究所(NIST)が、サービスを提供する側がパスワードの定期的な変更を要求すべきではないというガイドラインを提示したことや、日本においても同様に、内閣サイバーセキュリティセンター(NISC)は、パスワードを定期変更する必要はないという方針を示している。

現在のパスワードの管理の実情においても、パスワード単体で認証するサービスは少なくなってきており、ユーザーの知っていることや、ユーザーが持っているものに基づく、two-factor authentication (2要素認証)や、指紋や顔、静脈や虹彩といったような生体認証(バイオメトリクス認証)を取り入れるサービスが多くなってきている。

ネット上のみんなの反応

はてブのセキュリティbot
@hatebusecurity

パスワード「頻繁に変更はNG」 総務省が方針転換  :日本経済新聞 https://t.co/X1y66DpGgO

2018年3月27日

ぴっ太
@pitta552

https://t.co/AvO8b8eBBV

これで不毛なパスワード変更との戦いを減らせるかな

2018年3月26日

kusanoさん@がんばらない
@kusano_k

やっとかと思っていたけど、「従来の“常識”を覆すような注意喚起を始めた」という感じなのか。
パスワード「頻繁に変更はNG」 総務省が方針転換 :日本経済新聞https://t.co/pMpG5ROxOA

2018年3月26日

MAR
@matusita

しってた

というか、変更したほうがいい、の根拠で納得できる話を聞いたことがないのよね。https://t.co/NqskvTFFQ2

2018年3月26日

相沢かえで/禁麦は禁酒禁煙よりも難し……
@aizawakaede

「頻繁に変更できるような規則的な文字列」を含んでいると、その分だけ有効桁数が減る、という話、これは納得。あとはサービスごとにパスワード変えるかどうか、ってところか(こっちはやっぱ別々にする必要がある)。 / “パスワード「頻繁に…” https://t.co/bMB7lFgIs7

2018年3月26日

イグニス@2018社労士試験合格目標
@algernonroom

やっと悪例であることを認めたということで。

次は、「パスワード付ZIPで送れば大丈夫!」について方向転換することを望みましょう。https://t.co/LZEK56T7I0

2018年3月27日

DKおーん
@dko_n

総務相の方針に基づいて僕が修正したコードはどうなるんですか? https://t.co/NpqjkWSXPl

2018年3月26日

やくたたず
@YAKUTATAZU360

全部は見えないけど、、
海外じゃ以前から言われてた気が、、、、?https://t.co/oxRxPw2MmX

2018年3月26日

ガレット
@galettecomp

早く日本中が方針転換してほしい。https://t.co/ul5ds2FJP2

2018年3月26日

マツイッター
@matsuitter

よき傾向。とにかく長いのがいいんですよ。
「英語の大文字と小文字、数字、記号を組み合わせ、少なくとも10桁にするのが望ましい」
「パスワード『頻繁に変更はNG』 総務省が方針転換」 https://t.co/Ylr0jDeGXW

2018年3月26日

ぽりごん
@polygon0323

やっとか。あのパスワード定期変更おじさんはどう反応するのかな。 / パスワード「頻繁に変更はNG」 総務省が方針転換 https://t.co/fxZkme1I7V

2018年3月26日

まさにゃん/Masaya Kimoto
@MasayaKimoto

やっとかよ。まぁお上が言ってくれることで浸透してくれるか(お上が言うことが毎度正しいわけではないがこれはいい仕事)。//「パスワードの定期的な変更は不要」総務省がセキュリティに関する指針を変更 https://t.co/TNu4RWyvZo

2018年3月27日

佐藤嘉浩(Excelの魔法使い)
@yosatonet

該当URLはhttps://t.co/C5rZ66uP74
ですね。
日本のセキュリティポリシーで新たな考え方ができたのではなくて、NISTのガイドラインがそうなったからという理由のようで、もうちょっと理解が深い理由がほしいところ。
情報セキュリティ系の試験の正解も変わってしまうので、要注意です。 https://t.co/gTgXDXgkOA

2018年3月27日

cranpun
@cranpun

話題の、パスワードの定期変更は不要の元ネタはここか。

「IDとパスワード > 設定と管理のあり方」https://t.co/gTjjSDAnrU

2018年3月27日

兵藤善紀
@buryoshaki

ホントだ!総務省エライ。銀行も変わるかな?https://t.co/9089eSygmZ

2018年3月26日

湯きひろ
@ukihiro

私の場合、googleさんでパスワード管理しているのが約360件。それ以外にもevernoteとかで管理しているのはカウントできず。定期的に変えるとか元々無理だから。

設定と管理のあり方|IDとパスワード|どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト https://t.co/UOjmqzdDvF

2018年3月26日

matu
@matu6809

やっとか。十年以上前だけど、同様のことを言っても上には全く通じなかった。ユーザーレベルを高く見積もり過ぎなんだよ。→「むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります」 https://t.co/GkxDIs8EIg

2018年3月26日


この記事が気に入ったら
フォローお願いします

最新情報をお届けします!

この記事が気に入ったら
フォローお願いします

最新情報をお届けします!

記事一覧