パスワードの定期的な変更はリスク軽減につながるわけではない アカウントを安全に保つには?:変更が必要な場合と必要でない場合を整理
ESETは公式ブログで、安全にサービスを利用できるパスワードの変更頻度について解説した。パスワードを定期的に変更するだけではセキュリティの脆弱性を減少させる効果があまりなく、パスワードマネージャーと二要素認証の活用が重要だとしている。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
ESETは2024年4月3日(スロバキア時間)に公式ブログで、安全にサービスを利用できるパスワードの変更頻度について解説した。
スマートフォンの顔認証やその他のバイオメトリクス方式によるパスワードレス認証は、シンプルで安全なログイン体験を提供している。しかし、特にデスクトップではパスワードレス認証がいまだ標準とは言えず、パスワードへの依存が続いている。
ESETは、資格情報を安全に保つためにはどのくらいの頻度でパスワードを変更する必要があるのか、パスワードのベストプラクティスを下記のように紹介した。
パスワードの変更が意味を成さない理由
かつては、サイバー犯罪者による攻撃のリスクを軽減するために、パスワードを定期的に変更することが推奨されていた。一般的には30〜90日間隔で変更が必要とされていた。
しかし、時代は変わりつつあり、設定されたスケジュールで頻繁にパスワードを変更しても、アカウントのセキュリティは向上するとは限らないことが調査で示唆されている。言い換えれば、いつパスワードを変更すべきかについて、完璧な答えはない。また、あまりにオンラインアカウントが多いために、ユーザーが数カ月に一度、それぞれのアカウントに唯一無二の強力なパスワードを設定し、管理することは困難になっている。そのため、現在は、パスワードマネージャーとニ要素認証(2FA)が広まりつつある。
パスワードマネージャーは、アカウントごとに長くて強固なパスワードを保存し、容易に取り出すことができる仕組みだ。また、二要素認証は、パスワードによるログインプロセスに、シームレスな追加セキュリティレイヤーを加える。一部のパスワードマネージャーには、ダークウェブ監視機能が組み込まれており、認証情報が侵害され、アンダーグラウンドサイトに出回った場合に自動的にフラグを立てるようになっている。
いずれにせよ、米国国立標準技術研究所(NIST)や英国国立サイバーセキュリティセンター(NCSC)など、セキュリティ専門家や世界的に権威のある機関は、一定の基準を満たさない限り、数カ月ごとにパスワードを強制的に変更することを推奨しない。これには、以下のような理由がある。
- ユーザーは、近い将来変更する必要があることが分かっている場合、脆弱(ぜいじゃく)で既に記憶にあるものを選択する傾向がある
- 変更する際は、パスワード内にある数字を増やす、記憶にある過去の暗号に類似したものを選ぶなど、ありがちな変更を行う
- パスワードが侵害された後、上記のような変更を行っても、攻撃者が簡単にパスワードを解読できるにもかかわらず、誤ったセキュリティ感が得られる
- 新しいパスワード、特に数カ月ごとに変更されるパスワードは、書き留められたり、忘れられたりする可能性が高い
NCSCはユーザーがパスワードの変更を強制される頻度が高くなるほど、攻撃に対する全体的な脆弱性は強まることを指摘している。「NCSCは現在、組織に対して定期的なパスワードの有効期限を強制しないことを推奨している。定期的なパスワードの変更はセキュリティの脆弱性を減少させる効果があまりなく、長期的なパスワード悪用のリスクを増加させる一方だ」(NCSC)
パスワード変更が必要な場合
ただし、重要なアカウントについては、パスワード変更が必要となるケースがある。
パスワードが第三者のデータ漏えいに関与している
漏えいがプロバイダーから通知されたり、「Have I Been Pwned」などのサービスでアラートを受け取ったり、ダークウェブで自動チェックをしているパスワードマネージャープロバイダーから通知を受け取った場合は変更が必要だ。
パスワードが簡単に推測、解読できる
一般的なパスワードのリストに載っていると、ハッカーはツールを使用して、複数のアカウントに共通のパスワードを試す。
複数のアカウントでパスワードを共有する
1つのアカウントが侵害されると、攻撃者は自動化されたクレデンシャルスタッフィングソフトウェアを使用して、他のサイトやアプリでアカウントを開く。
その他、パスワード変更が必要なケースは以下の通り。
- デバイスがマルウェアに侵害される
- パスワードを他人と共有する
- 共有アカウントからユーザーを削除した
- 公共のコンピュータや他人のデバイス、コンピュータからログインする
パスワードのベストプラクティス
アカウント乗っ取りの可能性を最小限に抑えるためには次の点を考慮する。
- 常に強力で長く、ユニークなパスワードを使用する
- パスワードをパスワードマネージャーに保存する
- パスワード侵害のアラートに常に注意し、受け取ったらすぐに行動を起こす
- 二要素認証が利用可能であれば常にオンにする
- 携帯電話を使ったアカウントへのシームレスで安全なアクセスのために、パスキーが提供されたら有効にする
- 定期的にパスワードを監査する
- パスワードはブラウザに保存しない
関連記事
「無線LAN」驚きの侵入手口とその抑止策
サイバー攻撃者は、驚くほど単純な方法で無線LANに侵入することがある。こうした攻撃は幾つかのシステムの設定変更やツールの導入で抑止可能だ。無線LANのセキュリティ対策の方法を説明する。
徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは
2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「多要素認証から始めるID管理・統制」ゾーンで、イー・ガーディアングループCISO(最高情報セキュリティ責任者)兼 EGセキュアソリューションズ 取締役 CTO(最高技術責任者)の徳丸浩氏が「認証の常識が変わる――認証強化の落とし穴と今必要な施策」と題して講演した。「認証」をキーワードとし、これまでパスワードに頼り切りだった古典的な手法による認証システムが攻撃される中、新たな技術でどこまで人と情報を守れるのか。認証の現状と今必要な対策を語るセッションだ。本稿では、講演内容を要約する。
「利用者識別番号が分からない人はこちら」 年末年始で“人の心理”につけ込むフィッシングメールが増加
チェック・ポイントは、「マイナポータル」や国税庁、通販サイトなどを装う最新のフィッシングメール事例を確認した。一般消費者の心理につけ込むフィッシングメールが多く見られるため、細心の注意が必要だという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。