パスワードの定期変更は"時代遅れ"の対策？ 判断のポイントを解説

パスワードは実績のある認証技術だ。だが、意外に分かっていないことも多い。例えばいつパスワードを変更すればよいのだろうか。

[畑陽一郎，キーマンズネット]

　セキュリティに強い多要素認証やパスキーが広く使われるようになった現在、パスワードはある意味放置されている。いつパスワードを変更すればよいのか、変更には意味がないのか、こういった「常識」を振り返る必要がある。

パスワードを変更しても意味がないときは

　パスワードを狙うサイバー攻撃が減っているのだろうか。そうではない。特にPCではパスワードが広く使われており、脅威の標的になっている。パスワードを安全に保つための努力が必要であり、パスワードを変更するタイミングを考えなければならない。

　サイバー犯罪者による盗難やクラッキングのリスクを軽減するために、長年パスワードを定期的に変更するよう促すガイドラインがあった。変更間隔は30〜90日だった。

　ESETのフィル・マンカスター氏によれば、パスワードの頻繁な変更、特に決められたスケジュールに従った変更は、必ずしもアカウントのセキュリティを向上させるとは限らないという。

　米国国立標準技術研究所（NIST）や英国の国家サイバーセキュリティセンター（NCSC）といったセキュリティ専門家や世界的に権威のある機関が、パスワードの定期的な強制変更を推奨しないのはなぜだろうか。

（1）NISTによると「近い将来にパスワードを変更しなければならないと分かっている場合、ユーザーはより弱い暗記しやすいパスワードを選ぶ傾向がある」
（2）「パスワードを定期的に変更する場合、パスワードの数字を増やすといった単純な対応をしやすく、結局古いパスワードと似たものになってしまう」（NIST）
（3）古いパスワードが漏えいしたとき、（1）や（2）のような行動をユーザーがとっていると、攻撃者は簡単にクラックできる
（4）NCSCによると、新しいパスワードを特に数カ月ごとに作り直す場合、紙などに書かれたり、単に忘れられたりする可能性が高い。

　「パスワードの変更を強制される頻度が高ければ高いほど、攻撃に対する全体的な脆弱（ぜいじゃく）性が大きくなる。定期的な変更は長く強制されてきた。完全に正しい指針に見えたが、厳密なシステム全体の分析には耐えられないことが分かった」とNSCSは主張する。

　「現在、組織に対してパスワードを定期的に変更するように強制しないことを推奨している。こうすることで、長期的なパスワード悪用のリスクはほとんど高まらず、パスワードの定期的な有効期限切れに関連する脆弱性が軽減されると考えている」（NCSC）

ではいつパスワードを変更すればよいのか

　ではいったん決めたパスワードは永久に変更しなくてもよいのだろうか。変更しなければならないとすればいつなのか、はっきりした指針はないのだろうか。ユーザーはあまりにも多くのオンラインアカウントを持っているため、数カ月に一度、各アカウントの強力でユニークなパスワードを考えることは難しい。当然、適切に管理することもできない。

　マンカスター氏によれば少なくとも特に最も重要なアカウントについては、変更が必要な場合が7つある。

・（1）パスワードが第三者のデータ漏えいに巻き込まれた場合
　漏えいを起こしたプロバイダー自身から通知された場合はもちろん、「Have I Been Pwned」のような無償のサービスのアラートが役立つ。ダークWebで自動チェックを実行するパスワードマネジャーのプロバイダーから通知される場合もある。

・（2）パスワードが脆弱で、推測やクラックが容易な場合
　このようなパスワードが最も一般的なパスワードをまとめたWebサイトのリストに掲載されている可能性がある。攻撃者はツールを使って、複数のアカウントに共通するパスワードを試すこともできる。そこで、攻撃に備えるためにパスワードについて確認する「監査日」を決めておくとよいだろう。全てのアカウントのパスワードを見直し、重複していないか、推測されやすいものでないかを確認する。弱かったり、何度も繰り返して使っていたり、誕生日や家族のペットなど個人情報が含まれている可能性があるものは変更する。

・（3）複数のアカウントでパスワードを再利用していた場合
　これらのアカウントのいずれかが侵害された場合、攻撃者は自動化されたクレデンシャルスタッフィング・ソフトウェアを使用して、他のサイトやアプリケーションでユーザーのアカウントに容易にアクセスできる。

・（4）セキュリティソフトがマルウェアの感染を通知してきた場合

・（5）パスワードを他人と共有した場合

・（6）共有アカウントからユーザーを削除した場合

・（7）図書館などの公共のPCや他人のPCからログインした場合

パスワードを使う際に考えなければならないこと

　パスワードを盗み出されてアカウントを乗っ取られる前に、パスワードについて次のような対応と取るとよいだろう。

　まずは強力で長く、一意のパスワードを常に使用することだ。11桁で大文字と小文字の他、数字や記号を含んだパスワードを作ったとしよう。例えば「7&tUs318$Kj」といったパスワードだ。このようなパスワードであれば最も高速なコンピュータであっても解読に300年以上掛かる。しかし、数字だけの11桁であれば1秒も掛からずに解読されてしまう。

　「7&tUs318$Kj」のようなパスワードを幾つも記憶するのは無理だ。そこでパスワードマネジャーを使う。長い複雑なパスワードが多数あったとしても、パスワードマネジャーのマスターパスワードさえ記憶しておけば、必要に応じてあらゆるパスワードを自動的に呼び出すことができる。

　パスワードマネジャーのもう一つのメリットはこのようなパスワードを自動生成できることだ。面倒なパスワードをいちいち考え出す必要はない。

　「Google Chrome」のようなWebブラウザはユーザーが入力したパスワードを記録し、必要な時に自動入力してくれる。このことから、パスワードマネジャーを使わなくてもWebブラウザに任せておけばよいという意見があるが、マンカスター氏によればこの意見は正しくない。Webブラウザからパスワードなどを盗み出す情報窃取マルウェアが存在するからだ。もう一つの危険性はユーザーのPCを使う人物だ。偶然にしろ意図的にしろ、Webブラウザにアクセスされてしまうと、パスワードの意味がなくなってしまう。

　パスワードの弱点を補う技術を利用できるなら、ぜひ使ってみよう。多要素認証が可能なサービスでは必ず利用することで、パスワードの弱点を補うことができる。パスキーによるアクセスが可能ならより良い。必ず利用しよう。