検索
ニュース

パスワードの定期的な変更はリスク軽減につながるわけではない アカウントを安全に保つには?変更が必要な場合と必要でない場合を整理

ESETは公式ブログで、安全にサービスを利用できるパスワードの変更頻度について解説した。パスワードを定期的に変更するだけではセキュリティの脆弱性を減少させる効果があまりなく、パスワードマネージャーと二要素認証の活用が重要だとしている。

Share
Tweet
LINE
Hatena

 ESETは2024年4月3日(スロバキア時間)に公式ブログで、安全にサービスを利用できるパスワードの変更頻度について解説した。

 スマートフォンの顔認証やその他のバイオメトリクス方式によるパスワードレス認証は、シンプルで安全なログイン体験を提供している。しかし、特にデスクトップではパスワードレス認証がいまだ標準とは言えず、パスワードへの依存が続いている。

 ESETは、資格情報を安全に保つためにはどのくらいの頻度でパスワードを変更する必要があるのか、パスワードのベストプラクティスを下記のように紹介した。

パスワードの変更が意味を成さない理由

 かつては、サイバー犯罪者による攻撃のリスクを軽減するために、パスワードを定期的に変更することが推奨されていた。一般的には30〜90日間隔で変更が必要とされていた。

 しかし、時代は変わりつつあり、設定されたスケジュールで頻繁にパスワードを変更しても、アカウントのセキュリティは向上するとは限らないことが調査で示唆されている。言い換えれば、いつパスワードを変更すべきかについて、完璧な答えはない。また、あまりにオンラインアカウントが多いために、ユーザーが数カ月に一度、それぞれのアカウントに唯一無二の強力なパスワードを設定し、管理することは困難になっている。そのため、現在は、パスワードマネージャーとニ要素認証(2FA)が広まりつつある。

 パスワードマネージャーは、アカウントごとに長くて強固なパスワードを保存し、容易に取り出すことができる仕組みだ。また、二要素認証は、パスワードによるログインプロセスに、シームレスな追加セキュリティレイヤーを加える。一部のパスワードマネージャーには、ダークウェブ監視機能が組み込まれており、認証情報が侵害され、アンダーグラウンドサイトに出回った場合に自動的にフラグを立てるようになっている。

 いずれにせよ、米国国立標準技術研究所(NIST)や英国国立サイバーセキュリティセンター(NCSC)など、セキュリティ専門家や世界的に権威のある機関は、一定の基準を満たさない限り、数カ月ごとにパスワードを強制的に変更することを推奨しない。これには、以下のような理由がある。

  • ユーザーは、近い将来変更する必要があることが分かっている場合、脆弱(ぜいじゃく)で既に記憶にあるものを選択する傾向がある
  • 変更する際は、パスワード内にある数字を増やす、記憶にある過去の暗号に類似したものを選ぶなど、ありがちな変更を行う
  • パスワードが侵害された後、上記のような変更を行っても、攻撃者が簡単にパスワードを解読できるにもかかわらず、誤ったセキュリティ感が得られる
  • 新しいパスワード、特に数カ月ごとに変更されるパスワードは、書き留められたり、忘れられたりする可能性が高い

 NCSCはユーザーがパスワードの変更を強制される頻度が高くなるほど、攻撃に対する全体的な脆弱性は強まることを指摘している。「NCSCは現在、組織に対して定期的なパスワードの有効期限を強制しないことを推奨している。定期的なパスワードの変更はセキュリティの脆弱性を減少させる効果があまりなく、長期的なパスワード悪用のリスクを増加させる一方だ」(NCSC)

パスワード変更が必要な場合

 ただし、重要なアカウントについては、パスワード変更が必要となるケースがある。

パスワードが第三者のデータ漏えいに関与している

 漏えいがプロバイダーから通知されたり、「Have I Been Pwned」などのサービスでアラートを受け取ったり、ダークウェブで自動チェックをしているパスワードマネージャープロバイダーから通知を受け取った場合は変更が必要だ。

パスワードが簡単に推測、解読できる

 一般的なパスワードのリストに載っていると、ハッカーはツールを使用して、複数のアカウントに共通のパスワードを試す。

複数のアカウントでパスワードを共有する

 1つのアカウントが侵害されると、攻撃者は自動化されたクレデンシャルスタッフィングソフトウェアを使用して、他のサイトやアプリでアカウントを開く。

 その他、パスワード変更が必要なケースは以下の通り。

  • デバイスがマルウェアに侵害される
  • パスワードを他人と共有する
  • 共有アカウントからユーザーを削除した
  • 公共のコンピュータや他人のデバイス、コンピュータからログインする

パスワードのベストプラクティス

 アカウント乗っ取りの可能性を最小限に抑えるためには次の点を考慮する。

  • 常に強力で長く、ユニークなパスワードを使用する
  • パスワードをパスワードマネージャーに保存する
  • パスワード侵害のアラートに常に注意し、受け取ったらすぐに行動を起こす
  • 二要素認証が利用可能であれば常にオンにする
  • 携帯電話を使ったアカウントへのシームレスで安全なアクセスのために、パスキーが提供されたら有効にする
  • 定期的にパスワードを監査する
  • パスワードはブラウザに保存しない

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  2. 経営層の約7割が「セキュリティ対策は十分」一方で6割以上がインシデントを経験、1位の要因は?
  3. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  4. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  5. Google Cloud、2025年のサイバーセキュリティ予測を発表 AIがサイバー攻撃にもたらす影響とは?
  6. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  7. よく聞く「複雑化するサイバー攻撃」は具体的にどう複雑なのか? 一例を医療系企業のランサム事例とともに解説
  8. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  9. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  10. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
ページトップに戻る