【質問】パスワードの定期変更はしない方がいいって本当ですか？

【Ｑ】
パスワードは、定期変更を求める必要がない、というより、むしろ、求めてはいけないって本当ですか？
─────────────────────
【Ａ】
パスワードは一定期間ごとに変えるべき」という考えは、かつての常識でした。しかし、最近では「定期的な変更はかえって危険を招く可能性がある」として見直されつつあります。
　　
なぜ定期変更を求めてはいけないのでしょうか？
　　
パスワードの定期変更には、以下のようなデメリットがあるからです。
　　
●予測しやすいパターンが増える<／strong>
頻繁な変更を求められると、多くの人が簡単で予測可能なパターンを使い始めます。
攻撃者にとっては、むしろ解読しやすい状態になります。
　　
●ユーザーが負担の重さに耐え兼ね、安易な手段に走りやすい
頻繁な変更はユーザーにストレスを与え、「使い回し」や「紙に書く」など、本来避けるべき行動を誘発しやすくなります。
　　
こうした理由から、現在では「強いパスワードを一度設定し、安全に管理する」ことが推奨されています。
最新の考え方では、パスワードの定期変更は、「推奨はしない」から「求めてならない」と、より強く、避けるべき要求とみなされています。
ただし、パスワードの漏洩が疑われる場合は、例外です。
この場合は、迅速にパスワードを変更する必要があります。
　　
　　
パスワードは長さが重要である
　　
パスワードの強度は「長さ」で大きく変わります。
以下は文字数ごとの強度の違いの例です。
（数値はあくまで計算例です。参考に願います）
　　
●8文字のパスワード（例:abc12345）
総当たり攻撃による解読時間：数秒〜数分
現代の計算能力では、8文字はほぼ「簡単に破られる」部類です。
　　
●12文字のパスワード（例:mypassword12）
総当たり攻撃による解読時間：数日〜数週間
安全性は向上しますが、さらに長い方が理想的です。
　　
●20文字のパスワード
（例:ILikeTacosEveryTuesday）
総当たり攻撃による解読時間：数千年
これほど長いと、現実的に解読するのは不可能に近いです。
　　
パスワードの強度を高めるには、長さが最も重要です。
現在では、15文字以上が推奨される長さとなっています。
結構、長いですね。
　　
　　
多数の文字種の混在の強要も避ける
　　
パスワードを登録する際、「大文字、小文字、数字、記号を必ず含める」といったルールも、パスワードの定期変更を求める場合と同様、「予測しやすいパターンが増える」、「ユーザーが負担の重さに耐え兼ね、安易な手段に走りやすい」といったデメリットがあり推奨されません。
　　
結論としては、「自分だけが覚えやすく長いパスワード」を作ることが大切ということになります。
文字種に特にこだわる必要はありません。
　　
　　
おすすめのパスワード生成法
　　
では、長くても覚えやすく強力なパスワードをどのように作れば良いのでしょうか？
その例をいくつか示します。
　　
　　
●フレーズ型パスワード
自分に馴染みのある複数のフレーズや言葉をつなげます。
例: 「369hiknoCatswokaimasita」
日本語のローマ字表記はもおすすめです。
一部、フィクションを入れたり。
　　
●自分の好きなランダムな単語の組み合わせ
自分の単語をいくつか組み合わせることで、推測されにくくなります。
例: 「IkuraRogumaDorayaki」
3つ程度がいいでしょう。
そのうちの一つを逆読みにしたり。
(Maguro→Roguma)
　　
●パスワード管理ツールを使った無意味な文字
パスワード生成ツールなどで、無意味な文字列を生成し、記憶はツールに任せます。
例: 「xZ!4%9Lm@kR」
パスワードの強度は非常に高まりますが、パスワード管理ツールの利用が必要でしょう。
　　
パスワードにおいて最も重要なのは、「長さ」です。
十分な長さを確保しましょう。一方、定期変更や多数の文字種の組み合わせは不要です。
　　
また、「管理のしやすさ」も重要ですので、長くて、自分だけが覚えやすいパスワードを生成し、それを適切に保護すれば、大切な自分だけのパスワードを長く使い続けられます。
ぜひ、今回の記事を参考にして、より安全な自分だけのパスワードの生成してみてください。
　　
このメルマガが、皆様のデジタルライフのお役に立てば幸いです。