パスワードを定期的に変更するのはなぜ良くないのでしょうか?

パスワード セキュリティに関する最も永続的な知見の 1 つは、パスワードを定期的に変更するとセキュリティが強化されるというものです。少なくとも、世界中の IT チームは数十年にわたって人々にそうするように求めてきました。

しかし、そのアドバイスは常に反対に遭ってきました。セキュリティ業界の多くの人は、これによってパスワードが依然として覚えやすいものになると主張しています。現在、研究によってこの理論が証明され、パスワードを頻繁に変更するとセキュリティ上の問題が発生することが示されています。

パスワードを頻繁に変更するとセキュリティが低下する

4 週間、6 週間、または 8 週間ごとにパスワードを強制的に変更しなければならないのは、多くの人にとっては気が引けるものです。ある IT グループは、パスワードを変更すると、全員が新しいパスワードを使用するため、セキュリティ侵害が無意味になるという考えを推進しました。

実際には、これはパスワード作成の弱点につながります。強力で、一意で、推測しにくいパスワードを作成する代わりに、ほとんどの人は、小さな繰り返し部分を含む覚えやすいパスワードを選択します。

たとえば、強力な 16 文字のパスワードは「hS'9{yX?Fzu#=_:R」のようになり、大文字と小文字、数字、記号が混在します。覚えるのは難しいですが、時間が経つにつれてコツがつかめるようになります。一方、パスワードを毎月変更する必要がある場合、パスワードを覚えておく時間はありません。その結果、人々は小さな繰り返し部分を持つ、より記憶に残るフレーズを使い始めました。

• 1月: difficultpassword1
• 2月: d1fficultpassword2
• 3月: d1ff1cultp4ssword3
• V、v...

強力で固有のパスワードを選択する（またはパスワードマネージャーを使用する）

英国の国家サイバーセキュリティセンターは2015年から通常のパスワードの使用を推奨しておらず、現在、2024年には、国家規格協会もこれに追随している。

彼らの新しいアドバイスでは、パスワードの有効期限を 365 日ごとに設定することを推奨しており、期限が大幅に変更され、セキュリティが強化されています。

同時に、NIST はパスワードの長さと強度に関するメッセージも更新しています。場合によっては、パスワード生成ルールによって、パスワードの長さが 12 文字に制限されたり、特定の記号の使用が禁止されたりすることがあります。現在、NIST はすべてのパスワードについて次のことを推奨しています。

• 最低15文字
• 最大64文字
• すべての ASCII 文字、空白文字、Unicode 文字が含まれます

これらの変更により、パスワード入力フィールドが増えることで、より強力で覚えやすいパスフレーズが使用できるようになると同時に、パスワード全体の強度も向上します。

もちろん、パスワードのセキュリティに関心のある組織では、パスワード マネージャーの使用を有効にする必要があります。パスワード マネージャーを使用する場合、ローカル データ ストレージ、ゼロ知識暗号化など、追加のセキュリティ上の考慮事項がありますが、すべてのアカウントを強力なパスワードで保護することがベスト プラクティスです。